Sie sind auf Seite 1von 77

Goldene Regeln

GR 1.0

GR 1.0

Sicherheitsmanagement

Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet,


die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung
von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes
Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution
eingebettet werden.
-

Die Leitungsebene muss die Gesamtverantwortung fr Informationssicherheit in der Institution


bernehmen.
Die Leitungsebene muss eine bergeordnete Leitlinie zur Informationssicherheit verabschieden,
die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekte
der Sicherheitsstrategie beschreibt.
Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt
gegeben werden.
Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der die
Informationssicherheit in der Institution frdert und den Sicherheitsprozess steuert und koordiniert.
Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden und
berichtet bei Bedarf direkt an die Leitungsebene.
Im Rahmen des Sicherheitsprozesses mssen fr die gesamte Informationsverarbeitung
ausfhrliche und angemessene Sicherheitsmanahmen festgelegt werden.
Alle Sicherheitsmanahmen mssen systematisch in Sicherheitskonzepten dokumentiert und
regelmig aktualisiert werden.
Der Sicherheitsprozess und die Sicherheitskonzepte mssen die individuell geltenden Vorschriften
und Regelungen bercksichtigen. Sie sollten auf anerkannten Standards basieren.
Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschftigte
oder Projektmitarbeiter) mssen systematisch und zielgruppengerecht zu Sicherheitsrisiken
sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und
die Organisationsstruktur fr Informationssicherheit mssen regelmig auf Wirksamkeit und
Angemessenheit berprft und aktualisiert werden.

Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema
Sicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-GrundschutzKataloge sowie in den BSI-Standards 100-1 und 100-2.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.1

GR 1.1

Organisation

Viele Sicherheitsmanahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehren


dazu die allgemeinen und bergreifenden Manahmen, die als organisatorische Standardmanahmen
zur Erreichung eines Mindestschutzniveaus erforderlich sind.
-

Fr alle Aufgaben im Sicherheitsprozess mssen sowohl Verantwortlichkeiten als auch Befugnisse


festgelegt sein. Alle Mitarbeiter mssen auf ihre Verantwortung fr die Informationssicherheit in
ihrem Einflussbereich hingewiesen worden sein.
Fr alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer fr diese
und deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mit
wem ausgetauscht werden drfen und wie diese dabei zu schtzen sind.
Es mssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheit
festgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise
bekannt zu geben.
Die Aufgabenverteilung und die hierfr erforderlichen Funktionen sind so zu strukturieren,
dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um
Interessenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung).
In allen Geschftsprozessen muss es funktionierende Vertretungsregelungen geben.
Auf den verschiedenen Ebenen mssen angemessene und praktikable Berechtigungen vergeben
werden (z. B. fr den Zutritt zu Rumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen).
Es sollten immer nur so viele Rechte vergeben werden, wie es fr die Aufgabenwahrnehmung
notwendig ist. Es muss ein geregeltes Verfahren fr die Vergabe, die Verwaltung und den Entzug
von Berechtigungen geben.
Die Betriebsmittel, die zur Aufgabenerfllung und zur Einhaltung der Sicherheitsanforderungen
erforderlich sind, mssen in ausreichender Menge vorhanden sein. Es muss geeignete
Prfverfahren vor Einsatz der Betriebsmittel geben. Fr die Bestandsfhrung mssen die
Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu
verhindern, sollte die zuverlssige Lschung oder Vernichtung von Betriebsmitteln geregelt sein.
Es sind Regelungen fr Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen,
um auf Strungen bei einer nicht funktionierenden Infrastruktur adquat reagieren zu knnen. Bei
bestehenden Wartungsvertrgen sind feste Wartungsintervalle und Wartungsdetails einzelner ITSysteme (oder Gruppen) verbindlich zu regeln.
Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, mssen so entsorgt
werden, dass keine Rckschlsse auf ihre Verwendung oder Inhalte gezogen werden knnen.
Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datentrgern vor einer Vernichtung
umzugehen ist. Es sollte hierfr ein Handlungsleitfaden zur Verfgung stehen.
Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgen
sollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion mglich.

Die Sicherheitsempfehlungen zum Thema Organisation mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Organisation finden sich im
Baustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.2

GR 1.2

Personal

Informationssicherheit ist nicht nur eine Frage der Technik, sondern hngt in erheblichem Mae
von den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sind
daher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe von
Sicherheitsmanahmen erforderlich.
-

Zur geregelten Einarbeitung neuer Mitarbeiter mssen diese auf bestehende Regelungen und
Handlungsanweisungen zur Informationssicherheit hingewiesen werden.
Alle Mitarbeiter sollten umgehend ber Regelungen zur Informationssicherheit, deren
Vernderungen und ihre spezifischen Auswirkungen auf einen Geschftsprozess oder auf das
jeweilige Arbeitsumfeld unterrichtet werden.
Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlgige Gesetze, Vorschriften und
interne Regelungen einzuhalten. Auerdem sollten alle Mitarbeiter darauf hingewiesen werden,
dass alle whrend der Arbeit erhaltenen Informationen ausschlielich zum internen Gebrauch
bestimmt sind, solange sie nicht anders gekennzeichnet sind.
Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationen
und (soweit mglich) deren Vertrauenswrdigkeit verifiziert werden. Die Vertrauenswrdigkeit von
Personen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher mssen
beispielsweise Administratoren sorgfltig ausgewhlt werden.
Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheit
eigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert und
gefrdert werden.
Administrations- und Wartungspersonal muss detailliert ber die von ihnen betreuten Systeme und
deren Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechte
im Umgang mit der IT eine hohe Verantwortung tragen.
Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierliche
Verfgbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafr gesorgt werden, dass
Schlsselpositionen immer besetzt sind, sobald dies von den Ablufen her gefordert wird.
Kommunikationsprobleme innerhalb der Institution, persnliche Probleme von Mitarbeitern,
ein schlechtes Betriebsklima und andere Faktoren knnen zu Unzufriedenheit und damit
zu Sicherheitsrisiken fhren. Um hier rechtzeitig vorbeugen zu knnen, sollten geeignete
Anlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden.
Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen bernehmen, mssen
bestehende Regelungen mit erhhter Sorgfalt berprft werden. Nachfolger mssen eingearbeitet
werden, Unterlagen sind zurckzugeben und erteilte Berechtigungen sind wieder zu entziehen.
Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungen
hingewiesen werden.

Die Sicherheitsempfehlungen zum Thema Personal mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit finden
sich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.3

GR 1.3

Notfallmanagement

Der Notfallmanagement einer Behrde oder eines Unternehmens umfasst sowohl die
Notfallvorsorge, als auch Aspekte zur Bewltigung eines Notfalls. Dazu ist der Aufbau geeigneter
Organisationsstrukturen und Regelungen fr den Umgang mit Notfllen aller Art notwendig.
-

Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrer
Verantwortung dafr bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozess
initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen
umgesetzt wird.
Es mssen die organisatorischen Voraussetzungen fr das Notfallmanagement geschaffen
werden, d. h. Rollen und Verantwortlichkeiten mssen definiert und von der Leitungsebene ein
ausreichendes Budget zur Verfgung gestellt werden. Es muss ein Notfallbeauftragter benannt
werden, der den Notfallmanagement-Prozess steuert und koordiniert.
Auf Basis einer Schutzbedarfsanalyse oder einer Business Impact Analyse und einer
anschlieenden Risikoanalyse mssen die Auswirkungen von Geschftsunterbrechungen
untersucht sowie die Verfgbarkeitsanforderungen an die Geschftsprozesse und deren
bentigten Ressourcen ermittelt werden.
Die kritischen Prozesse mssen definiert und analysiert werden, danach folgt die Auswahl
einer angemessenen Strategie, um einerseits Ausfallrisiken zu reduzieren und andererseits
nach dem Auftreten von Notfllen Ausfallzeiten verkrzen zu knnen. Diese werden in einem
Notfallvorsorgekonzept dokumentiert.
Fr eine rasche Notfallbewltigung ist ein Notfallhandbuch zu erstellen, in dem beschrieben
wird, welche Manahmen bei einem Notfall durchgefhrt und umgesetzt werden mssen. Das
Notfallhandbuch sollte mindestens Alarmierungsplne, Meldewege, Notfall-, Wiederanlauf-,
Wiederherstellungs- und Geschftsfortfhrungsplne, sowie alle wichtigen Informationen und
Aufgabenzuordungen der Mitglieder des Notfallteams enthalten.
Die entwickelten Manahmen und Verfahren zur Notfallbewltigung mssen regelmig durch
bungen und Tests auf ihre Wirksamkeit untersucht werden. Notfall-bungen erleichtern es,
sich rechtzeitig im Vorfeld auf eine Notfallsituation einstellen und Fehler in der Notfallkonzeption
erkennen zu knnen.
Um ein effizientes Notfallmanagement aufrecht zu erhalten, mssen nicht nur die Dokumente
regelmig aktualisiert werden, sondern auch die Notfallvorsorgemanahmen berprft und
angepasst werden.
Alle Mitarbeiter der Institution mssen systematisch und zielgruppengerecht sensibilisiert und im
Umgang mit Notfallsituationen geschult werden. So wird in der Institution eine NotfallmanagementKultur etabliert.

Die Richtlinien und Vorgaben zum Thema Notfallmanagement mssen zielgruppengerecht aufbereitet
und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Notfallmanagement finden
sich im Baustein B 1.3 Notfallmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.4

GR 1.4

Datensicherungskonzept

Computersysteme und Datentrger (z. B. Festplatten) knnen ausfallen oder manipuliert werden. Durch
den Verlust oder die Vernderungen von gespeicherten geschftsprozessrelevanten Daten knnen
gravierende Schden verursacht werden. Durch regelmige Datensicherungen knnen Schden
durch Ausflle von Datentrgern, Schadsoftware oder Manipulationen an Datenbestnden zwar nicht
verhindert, deren Auswirkungen aber minimiert werden.
-

Um zu gewhrleisten, dass alle Datenbestnde regelmig gesichert werden, mssen fr


alle IT-Systeme und Anwendungen geeignete Datensicherungsverfahren festgelegt werden.
Datensicherungen sollten weitgehend automatisiert erfolgen.
Es muss festgelegt werden, wer fr die Datensicherung der einzelnen IT-Systeme zustndig ist.
Neben dem Datum mssen Umfang, Art der Durchfhrung der Sicherung sowie gewhlte
Parameter und die eingesetzte Hard- und Software der Datensicherungen dokumentiert werden.
Ebenso sollten die wichtigsten Informationen fr eine sptere Datenrekonstruktion festgehalten
werden.
Die eingesetzten Speichermedien sollten ausreichend Speicherkapazitt haben und mssen
eindeutig beschriftet sein.
Auch die Daten mobiler IT-Systeme wie Laptops, PDAs, Handys mssen regelmig gesichert
werden.
Backup-Datentrger mssen einerseits im Bedarfsfall schnell verfgbar sein, andererseits sollten
sie aber rumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden, damit sie bei
Notlagen wie z. B. Brand oder Hochwasser verfgbar sind.
Es sollten nur befugte Personen auf die Datensicherungsmedien zugreifen drfen. Vertrauliche
Daten sollten vor der Sicherung mglichst verschlsselt werden.
Es muss regelmig getestet werden, ob die Datensicherung auch wie gewnscht funktioniert, vor
allem, ob gesicherte Daten problemlos zurckgespielt werden knnen.

Die Sicherheitsempfehlungen zum Thema Datensicherung mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Datensicherung finden sich im
Baustein B 1.4 Datensicherungskonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.5

GR 1.5

Datenschutz

Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schtzen, dass er durch die Verarbeitung
und den Umgang seiner personenbezogenen Daten in dem Recht beeintrchtigt wird, selbst ber die
Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht").
-

Die Leitungsebene muss die Gesamtverantwortung fr den Datenschutz in der Institution


bernehmen.
Die Leitungsebene muss einen Datenschutzbeauftragten benennen, der den Datenschutz in der
Institution frdert und den ordnungsmigen Umgang mit personenbezogenen Daten steuert und
kontrolliert.
Der Datenschutzbeauftragte muss mit angemessenen Ressourcen ausgestattet werden. Er muss
bei Bedarf direkt an die Leitungsebene berichten knnen.
Es sollte klare Regeln fr den Umgang mit personenbezogenen Daten geben, die allen
Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Alle Beschftigten
sind bei der Aufnahme ihrer Ttigkeit auf das Datengeheimnis zu verpflichten bzw. darber zu
unterrichten.
Alle Datenschutzmanahmen mssen systematisch in einem Datenschutzkonzept dokumentiert
und regelmig aktualisiert werden.
Der Datenschutzbeauftragte muss bei allen nderungen in Geschftsprozessen und neuen
Projekten eingebunden werden, so dass er die rechtlichen Rahmenbedingungen fr die
Datenverarbeitung prfen und geeignete Vorkehrungen ausarbeiten kann.
Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschftigte
oder Projektmitarbeiter) mssen systematisch und zielgruppengerecht zu Datenschutzfragen
sensibilisiert und zum Umgang mit personenbezogenen Daten geschult werden.

Die Richtlinien und Vorgaben zum Thema Datenschutz mssen zielgruppengerecht aufbereitet und
institutionsweit verffentlicht werden. Weitere Informationen zum Thema Datenschutz finden sich im
Baustein B 1.5 Datenschutz und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.6

GR 1.6

Schutz vor Schadprogrammen

Wenn IT-Systeme mit Schadsoftware (Viren, Wrmer, Trojanische Pferde usw.) befallen werden, kann
dies die Verfgbarkeit, Integritt und Vertraulichkeit der Systeme und der darauf gespeicherten Daten
gefhrden. Fr einen effizienten Computer-Virenschutz ist daher zu sorgen.
-

Es mssen zentrale Ansprechpartner mit der notwendigen Fachkunde fr das Thema


Schadsoftware benannt werden.
Innerhalb der vernetzten Strukturen einer Institution mssen Viren-Schutzprogramme so auf den
IT-Systemen platziert werden, dass alle mglichen Infektionswege abgedeckt sind. Dabei muss
sichergestellt werden, dass auch die mobilen Endgerte ausreichend geschtzt sin
Die Viren-Schutzprogramme mssen regelmig durch zeitnahes Einspielen von Updates und
Patches auf den aktuellen Stand gebracht werden.
Schadprogramm-Signaturen mssen in mglichst kurzen Abstnden, mindestens tglich,
aktualisiert werden.
Auf allen IT-Systemen mssen fr die Betriebssysteme sowie fr alle installierten Treiber und
Programme zeitnah die jeweils hierfr verffentlichten sicherheitsrelevanten Updates und Patches
eingespielt werden. Dies gilt besonders fr Programme, mit denen auf Fremdnetze zugegriffen
wird, beispielsweise Browser.
Die Mitarbeiter mssen darber informiert sein, wie sie eine Infektion mit Schadsoftware
verhindern knnen, woran sie sie erkennen und wie sie sich in einem solchen Fall zu verhalten
haben.
Erkannte Infektionen mit Schadprogrammen mssen zeitnah an die zustndigen Fachkrfte
gemeldet werden. Die Meldung sollte mglichst automatisch erfolgen.
Infizierte IT-Systeme mssen unverzglich von allen Datennetzen getrennt werden und drfen bis
zur vollstndigen Bereinigung nicht mehr produktiv genutzt werden.
Entdeckte Schadprogramme mssen zeitnah durch fachkundiges Personal entfernt werden.

Die Sicherheitsempfehlungen zum Thema Schutz vor Schadprogrammen mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Schutz vor
Schadprogrammen finden sich im Baustein B 1.6 Schutz vor Schadprogrammen und in den weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.7

GR 1.7

Kryptokonzept

Damit schtzenswerte Informationen nicht manipuliert werden oder in falsche Hnde geraten, sollten sie
durch zuverlssige kryptographische Verfahren und Techniken geschtzt werden. Dies betrifft sowohl
die auf den verschiedensten IT-Systemen lokal gespeicherten Daten als auch die zu bertragenen
Daten. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten
sind, sollte hierfr ein Kryptokonzept erstellt werden.
-

Alle Informationen sollten in Punkto Vertraulichkeit und Integritt klassifiziert sein, damit jederzeit
klar ist, welche Informationen wie verschlsselt oder signiert werden mssen
Allen Mitarbeitern mssen geeignete kryptographische Produkte zur Verfgung stehen, um
Informationen verschlsseln, signieren oder anders schtzen zu knnen.
Dafr mssen kryptographische Produkte ausgewhlt werden, die alle fr den jeweiligen
Einsatzzweck erforderlichen Sicherheitsfunktionalitten bieten. Solche Produkte knnen dabei
aus Hardware, Software, Firmware oder aus einer diesbezglichen Kombination bestehen. Sie
mssen nach dem Stand der Technik sicher und zuverlssig arbeiten, einfach zu bedienen und
wenig fehleranfllig sein, auerdem sollten sie bei mglichst vielen Geschftsprozessen, ITSystemen und Kommunikationspartnern einsetzbar sein.
Es sollte ein Kryptokonzept entwickelt werden, in dem alle Einflussgren und
Entscheidungskriterien fr die Wahl eines konkreten kryptographischen Verfahrens und der
entsprechenden Produkte bercksichtigt werden und das gleichzeitig unter Kostengesichtspunkten
wirtschaftlich vertretbar ist.
Kryptographische Produkte mssen sicher betrieben werden. Dazu gehrt, dass sie gegen
unmittelbare Angriffe und Fremdeinwirkung geschtzt werden mssen. Voreingestellte Schlssel
mssen bei der Installation gendert werden.
Die Mitarbeiter sollten im Umgang mit den von ihnen zu bedienenden Kryptoprodukten geschult
werden. Sie sollten darber hinaus fr den Nutzen der kryptographischen Verfahren sensibilisiert
werden und einen berblick ber kryptographische Grundbegriffe erhalten.
Kryptoprodukte knnen nur dann sicher betrieben werden, wenn geeignete Schlssel vertraulich,
integer und authentisch erzeugt, verteilt und installiert worden sind (Schlsselmanagement).
Die Schlsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter
Schlsselgeneratoren erfolgen. Schlsselverteilung und Schlsselaustausch mssen so
abgesichert werden, dass unbefugte Kenntnisnahme bzw. Verflschung der Schlssel verhindert
oder wenigstens erkannt werden knnen. Kryptographische Schlssel mssen regelmig
gewechselt werden.
Es muss geklrt werden, wie Datensicherungen der verschlsselten Daten angefertigt werden.
Ebenso muss auch berlegt werden, ob und wie die benutzten kryptographischen Schlssel
gespeichert werden sollen.

Die Sicherheitsempfehlungen zum Thema Kryptokonzept mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Kryptokonzept finden sich im
Baustein B 1.7 Kryptokonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.8

GR 1.8

Behandlung von
Sicherheitsvorfllen

Sicherheitsvorflle knnen groe Schden nach sich ziehen, wenn deren professionelle Behandlung
nicht konzipiert und eingebt wurde. Um Schden zu verhten bzw. zu begrenzen, sollte die Behandlung von Sicherheitsvorfllen zgig und effizient ablaufen. Dazu ist der Aufbau geeigneter
Organisationsstrukturen und Regelungen fr den Umgang mit IT-Sicherheitsvorfllen aller Art
notwendig.
-

Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls vorzugeben,
sind zielgruppengerechte Richtlinien zur Behandlung von Sicherheitsvorfllen zu erstellen,
abzustimmen und bekannt zu geben. Oberste Regel ist dabei, dass alle Beteiligten Ruhe
bewahren und keine bereilten Manahmen ergreifen.
Es mssen organisatorische Voraussetzungen fr den Umgang mit IT-Sicherheitsvorfllen
geschaffen werden. Dafr mssen Rollen und Verantwortlichkeiten (d. h. Kompetenzen, Aufgaben
und Verhaltensregeln) festgelegt und benannt werden.
Es sind Meldewege und Eskalationsstrategien fr die verschiedenen Arten von
Sicherheitsvorfllen zu definieren. Hierbei sollte der IT-Support mit einbezogen werden, da bereits
vorhandene Vorgehensweisen zur Fehlermeldung und -behebung integriert werden sollten.
Um die Ursachen von Sicherheitsvorfllen und die entstandenen Schden effizient und
in einer sinnvollen Reihenfolge beheben zu knnen, ist es wichtig, die Prioritten fr die
Problembeseitigung vorab festzulegen. Diese Priorittensetzung muss regelmig aktualisiert
werden.
Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, mssen Manahmen zu
dessen Behebung ergriffen werden. Dazu muss zunchst das Problem eingegrenzt und beseitigt
und anschlieend der "normale" Zustand wiederhergestellt werden. Hufig ist es notwendig, die
betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls
einzudmmen.
Die Behebung von Sicherheitsvorfllen muss ausfhrlich dokumentiert werden, um aufgetretene
Probleme nachvollziehbar zu machen und sie sowohl bereinigen als auch um vorbeugende
Manahmen ausarbeiten zu knnen, damit ein einmal erkanntes Problem nicht wieder auftritt. Zur
Dokumentation gehren sowohl alle durchgefhrten Aktionen inklusive der Zeitpunkte, als auch
die Protokolldateien der betroffenen IT-Systeme.
Es sind geeignete Beweissicherungsmanahmen zu etablieren, um fr eine mgliche
Strafverfolgung Beweise zu sammeln. Die zustndigen Mitarbeiter sind im Umgang mit
Detektions- und Beweismittelwerkzeugen zu schulen.
Von einem Sicherheitsvorfall mssen alle betroffenen internen und externen Stellen informiert
werden. Hierzu muss ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge
und in welcher Tiefe informiert wird. Ausknfte ber Sicherheitsvorflle drfen ausschlielich
durch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder die
Pressestelle, gegeben werden.

Die Sicherheitsempfehlungen zum Thema Behandlung von Sicherheitsvorfllen mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Behandlung von Sicherheitsvorfllen finden sich im Baustein B 1.8 Behandlung von
Sicherheitsvorfllen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.9

GR 1.9

Hard- und Software-Management

Fr den sicheren Einsatz von IT-Systemen und IT-Anwendungen in einer Institution mssen sowohl
die einzelnen IT-Komponenten angemessen geschtzt, als auch alle Ablufe und Vorgnge, die diese
IT-Systeme berhren, so gestaltet werden, dass das angestrebte IT-Sicherheitsniveau erreicht und
beibehalten wird. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus eines IT-Systems
bzw. eines Produktes sein. Hierfr sind klare Regelungen erforderlich, um einen ordnungsgemen und
sicheren IT-Betrieb sicherstellen zu knnen.
-

Durch eine geeignete Benutzerkonten- und Rechteverwaltung muss sichergestellt werden, dass
nur diejenigen Personen Zugang auf IT-Systeme und Zugriff auf Applikationen und Informationen
haben, die aufgrund ihrer Aufgaben dazu berechtigt sind.
Die Verantwortung fr die Administration von IT-Systemen und Anwendungen muss klar definiert
werden.
Es sollten Standardarbeitspltze und Standardsysteme definiert werden, die nur mit festgelegter
Hardware und Software betrieben werden drfen. Dadurch wird die Verwaltung von IT-Systemen
effizienter und sicherer.
Es mssen Richtlinien fr den IT-Betrieb und die IT-Nutzung definiert werden und den Benutzern
bekannt gemacht werden. Dazu gehren auch Richtlinien fr die Informationssicherheit.
Die Mitarbeiter sowie alle, die Zugang zu internen Informationen haben, mssen zum sicheren
Umgang mit Informationstechnik und Informationen sensibilisiert und geschult werden. Fr Fragen
der Benutzer zur Informationssicherheit und zu IT-Themen sollte eine Betreuung sichergestellt
sein.
Systemkonfigurationen mssen ausreichend dokumentiert werden. Auerdem mssen
Installationshinweise, Benutzerhandbcher und -Anleitungen vorhanden sein, um Probleme zu
vermeiden und um den Betrieb nach Ausfllen wieder herzustellen.
Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen knnen, ist
es wichtig, dass sich jeder vor Nutzung von IT-Systemen und IT-Anwendungen authentisieren
muss. Dazu sind Regelungen, z. B. fr den Umgang mit Passwrtern und deren Gestaltung,
zu definieren. Die Benutzer mssen ber die Regelungen und deren Anwendung sowie deren
Hintergrnde informiert werden.
IT-Systeme sind weniger angreifbar, wenn sie nur minimal nach auen geffnet sind. Daher
muss genau berlegt werden, welche Anwendungen und Dienste auf einem System (Internet,
Fernzugriff, ...) sinnvoll sind. Nur diese sollten installiert oder aktiviert werden.
Um IT-Systeme sicher betreiben zu knnen, ist eine regelmige Informationsbeschaffung
zu Schwachstellen und Schadsoftware notwendig. Aktuelle sicherheitsrelevante Updates und
Patches mssen zeitnah auf allen Systemen installiert werden.
Der Hard- und Software-Bestand muss regelmig kontrolliert werden, nicht freigegebene
Hard- oder Software muss entfernt werden, bei Verlust oder Diebstahl von IT-Systemen oder
Komponenten mssen sofort geeignete Manahmen ergriffen werden.

Die Sicherheitsempfehlungen zum Thema Hard- und Software-Management mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Hard- und Software-Management finden sich im Baustein B 1.9 Hard- und SoftwareManagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.10

GR 1.10 Standardsoftware

Als Standardsoftware wird Software bezeichnet, die als vorgefertigtes Produkt z. B. ber den Fachhandel
erworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert wird
und dass nur geringer Aufwand fr die anwenderspezifische Anpassung notwendig ist.
-

Es sollte klare Regeln und Prozesse fr den sicheren Umgang mit Standardsoftware gebe
Alle Mitarbeiter sollten wissen, dass nur explizit freigegebene Standardsoftware eingesetzt werden
darf.
Die Nutzung nicht zugelassener Hard- und Software sollte mglichst technisch unterbunden
werden.
Um geeignete Standardsoftware auszuwhlen, sollte von den Fach- und den IT-Verantwortlichen
gemeinsam ein Anforderungskatalog erstellt werden.
Bevor Standardsoftware zum Einsatz kommt, muss sie ausreichend getestet werden. Auerdem
muss die optimale Konfiguration festgelegt und dokumentiert werden.
Standardsoftware muss entsprechend der bei den Tests festgelegten Installations- und
Konfigurationsanweisungen auf den dafr vorgesehenen IT-Systemen installiert werden. Es
sollte sichergestellt werden, dass Standardsoftware nicht in anderer Form oder auf anderen ITSystemen installiert wird.
Die Mitarbeiter sollten angemessenen ber die Anwendung der von ihnen genutzten
Standardsoftware geschult sein. Dazu gehrt auch die Aufklrung ber eventuelle
Sicherheitsrisiken und Sicherheitsfunktionalitten der IT-Anwendungen.

Die Sicherheitsempfehlungen zum Thema Standardsoftware mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Standardsoftware finden
sich im Baustein B 1.10 Standardsoftware und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.11

GR 1.11 Outsourcing

Beim Outsourcing werden Arbeits- oder Geschftsprozesse einer Organisation ganz oder teilweise
zu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware
und Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistung in den
Rumlichkeiten des Auftraggebers oder in einer externen Betriebssttte des Outsourcing-Dienstleisters
erbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einer
Webseite oder des Wachdienstes.
-

Vor der Entscheidung Geschftsprozesse auszulagern, muss berlegt werden, ob und in


welcher Form dies mglich ist. Hierbei mssen neben anderen Rahmenbedingungen auch die
sicherheitsrelevanten Aspekte einbezogen werden.
Sobald die Entscheidung zum Outsourcing gefallen ist, mssen die wesentlichen bergeordneten
Sicherheitsanforderungen fr das Outsourcing-Vorhaben festgelegt werden. Diese sind unter
anderem die Basis fr die Auswahl eines Outsourcing-Dienstleisters.
Bei der Auswahl eines geeigneten Outsourcing-Dienstleisters mssen Qualifikationen der
Mitarbeiter und Sicherheitsnachweise nachgefragt werden. Hierbei knnen Zertifikate hilfreich
sein.
Bei der Vertragsgestaltung mit dem Outsourcing-Dienstleisters mssen mglichst detailliert die
IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalitt und Sicherheit
beschrieben werden. Im Vertrag mssen auch Auskunfts-, Mitwirkungs- und Revisionspflichten
geregelt sein.
Zwischen Auftraggeber und Outsourcing-Dienstleister muss ein detailliertes Sicherheitskonzept
inklusive Notfallvorsorgekonzept abgestimmt werden.
Bei der bertragung der Aufgaben mssen klare Fhrungsstrukturen geschaffen und auf beiden
Seiten eindeutige Ansprechpartner benannt werden. Auerdem mssen ausreichende Tests
geplant und durchgefhrt werden, damit die Produktionseinfhrung reibungslos erfolgen kann.
Auch whrend des laufenden Betriebs eines Outsourcing-Vorhabens muss der Auftraggeber
regelmige Kontrollen zur Aufrechterhaltung der IT-Sicherheit beim Dienstleister durchfhren
(lassen).
Nichts dauert ewig. Daher mssen Eigentumsrechte an Hard- und Software sowie die Rckgabe
der Datenbestnde vom Dienstleister geklrt sein. Auerdem mssen alle erforderlichen
Informationen fr die Weiterfhrung des Betriebs von IT-Systemen und IT-Anwendungen
ausreichend dokumentiert sein.

Die Sicherheitsempfehlungen zum Thema Outsourcing mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Outsourcing finden sich im
Baustein B 1.11 Outsourcing und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.12

GR 1.12 Archivierung

Bei nahezu allen Geschftsprozessen entstehen Daten, die geeignet archiviert werden mssen, um
sie spter wiederfinden und verwenden zu knnen. Die dauerhafte und unvernderbare Speicherung
von elektronischen Dokumenten und anderen Daten wird als Archivierung bezeichnet. Diese ist an
Regeln gebunden wie Unvernderbarkeit, langfristige Wiederauffindbarkeit und Wiedergabefhigkeit.
Die Aufbewahrungsfrist muss zum Archivierungszeitpunkt festgelegt werden, es kann unter Umstnden
eine zeitlich unbegrenzte Verfgbarkeit gefordert sein.
-

Elektronische Archivierungssysteme sollten in einem dreigliedrigen Prozess (Planung, Einfhrung/


Betrieb, Migration) eingefhrt werden. Neben den Phasen "Planung" und "Einfhrung/Betrieb"
muss eine Migrationsphase durchgefhrt werden, da die eingesetzten Archivsysteme und -medien
mit der Zeit technologisch und physikalisch veralten.
Vor dem Einsatz einer Archivierungslsung sind die Ziele festzulegen, die mit der Archivierung
erreicht werden sollen. Die technischen, rechtlichen und organisatorischen Rahmenbedingungen
mssen ermittelt werden. Die Ergebnisse mssen in einem Archivierungskonzept erfasst werden.
Es sind Richtlinien zur Administration und Benutzung des Archivsystems festzulegen, die
sicherstellen, dass das Archivierungskonzept in vorgesehener Weise umgesetzt wird und die
festgelegten Rahmenbedingungen eingehalten werden.
Benutzer und Administratoren sind in die Bedienung des verwendeten Archivsystems in
geeigneter Weise einzuweisen.
Fr Archivierungssysteme sowie die Lagerung der entstehenden Archivierungsmedien sind
geeignete Standorte, Gertschaften, Software und Datenformate zu whlen. Der Aufstellungsort
des Systems sowie der Lagerungsort der Archivmedien sind vor unbefugtem Zutritt und anderen
Gefhrdungen zu schtzen.
Der Archivierungsprozess ist kontinuierlich zu berwachen und auf Korrektheit zu prfen.
System- und Archivdaten sowie Index-Datenbanken sind im Hinblick auf Integritt und
Verfgbarkeit durch geeignete Manahmen besonders zu schtzen.

Die Richtlinien und Vorgaben zum Thema Archivierung mssen zielgruppengerecht aufbereitet und
institutionsweit verffentlicht werden. Weitere Informationen zum Thema Archivierung finden sich im
Baustein B 1.12 Archivierung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.13

GR 1.13 Sensibilisierung und Schulung zur


Informationssicherheit

Um Sicherheitsmanahmen wirkungsvoll umsetzen zu knnen, muss in jeder Institution eine ITSicherheitskultur aufgebaut und ein Sicherheitsbewusstsein gebildet werden. Informationssicherheit
betrifft ohne Ausnahme alle Mitarbeiter. Daher mssen alle Mitarbeiter in Hinblick auf die Bedeutung
von Sicherheitsmanahmen und ihre Anwendung geschult und sensibilisiert werden. Dafr mssen
Schulungskonzepte fr verschiedene Zielgruppen (z. B. Administratoren, Manager, Anwender,
Wachpersonal) erstellt werden.
-

Ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit muss


aufgebaut und aufrechterhalten werden. Nur langfristige und kontinuierliche Manahmen bewirken
eine Verhaltensnderung der Mitarbeiter hin zu einer sicheren Institution.
Die Durchfhrung von Schulungs- und Sensibilisierungsmanahmen muss nachhaltig untersttzt
werden. Daher ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheit
aufmerksam gemacht wird.
Den Mitarbeitern muss die notwendige Kompetenz zur Informationssicherheit vermittelt werden,
die sie bei der Ausfhrung ihrer Fachaufgaben bentigen. Den Mitarbeitern soll eine Basis
gegeben werden, um die Folgen und Auswirkungen ihrer Ttigkeit sowohl im beruflichen und als
auch privaten Umfeld besser einschtzen knnen.
Alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, mssen
grndlich eingearbeitet und ausgebildet werden. Auch erfahrene IT-Benutzer sollten in
regelmigen Abstnden ihr Wissen auffrischen und ergnzen.
Mitarbeiter mssen ber den Sinn von Sicherheitsmanahmen aufgeklrt werden. Dies ist
besonders wichtig, wenn sie Komfort- oder Funktionseinbuen zur Folge haben.
Alle Mitarbeiter mssen die firmeninternen Ablufe kennen und wissen, an wen sie sich wenden
knnen, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelst werden mssen.

Die Sicherheitsempfehlungen zum Thema Schulung und Sensibilisierung mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Schulung und
Sensibilisierung finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit
und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.14

GR 1.14 Patch- und nderungsmanagement

Sicherheitslcken und Strungen im IT-Betrieb sind hufig auf fehlerhafte oder nicht erfolgte
nderungen zurckzufhren. Ein fehlendes oder vernachlssigtes Patch- oder nderungsmanagement
fhrt schnell zu Lcken in der Sicherheit der einzelnen Komponenten und damit zu mglichen
Angriffspunkten. Ein nderungsmanagement ist dafr zustndig, nderungen an Anwendungen,
Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten.
-

Jede Institution sollte ein funktionierendes Patch- und nderungsmanagement haben. Alle
nderungen von Hard- und Softwarestnden und Konfigurationen sollten ber den Prozess des
Patch- und nderungsmanagements gesteuert und kontrolliert werden.
Der Patch und nderungsmanagementprozess muss in die Geschftsprozesse integriert werden.
Es sollte sichergestellt werden, dass das angestrebte Sicherheitsniveau whrend und nach dem
Einspielen von nderungen und Patches erhalten bleibt.
Die Freigabe und Durchfhrung von nderungen sollten zwischen Fachbereichen und IT-Betrieb
abgestimmt und die jeweiligen Ressourcen und Interessen bercksichtigt werden.
Die Integritt und Authentizitt von Softwarepaketen muss whrend des gesamten Patch- und
nderungsmanagementprozesses sichergestellt sein.
Die Verantwortlichkeiten fr die verschiedenen Aktivitten beim Patch- und
nderungsmanagement sollten klar definiert sein.
Es sollte einen fest definierten Ablauf geben, wie nderungsanforderungen eingereicht,
koordiniert, umgesetzt, evaluiert und abgeschlossen werden. Dieser sollte auch den Umgang mit
fehlgeschlagenen nderungen beinhalten.
Zeitweise oder permanent nicht erreichbare Gerte, wie zum Beispiel Laptops, mssen im Patchund nderungsmanagement durch geeignete Mechanismen bercksichtigt werden.
Der Umgang mit automatischen Update-Mechanismen (Autoupdate) der verwendeten Software
muss geklrt werden und passend konfiguriert werden.
Alle nderungen an IT-Systemen sollten dokumentiert werden.

Die Sicherheitsempfehlungen zum Thema Patch- und nderungsmanagement mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen
zum Thema Patch- und nderungsmanagement finden sich im Baustein B 1.14 Patch- und
nderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.15

GR 1.15 Lschen und Vernichten von Daten

Damit Informationen nicht in falsche Hnde geraten knnen, muss in einem Unternehmen oder einer
Behrde die Vorgehensweise geregelt sein, wie Daten und Datentrger vollstndig und zuverlssig zu
lschen oder zu vernichten sind. Dabei mssen sowohl die schutzbedrftigen Informationen auf Papier
oder anderen analogen Datentrgern wie Mikrofilm als auch solche, die auf digitalen Datentrgern
(elektronisch, magnetisch, optisch) gespeichert sind, betrachtet werden.
-

Es muss klare und einfache Regeln zum Lschen und zur Entsorgung von Informationen und
Datentrgern geben.
Den Mitarbeitern mssen geeignete Werkzeuge und Gerte zur Entsorgung von Informationen
und Datentrgern zur Verfgung stehen.
Alle Mitarbeiter sollten ber die vorhandenen Methoden zum Lschen von Informationen oder zur
Vernichtung von Datentrgern informiert sein.
Informationen sollten strukturiert gehalten und nach Schutzbedarf kategorisiert werden. Dies
erleichtert es, alle zu lschenden oder zu vernichtenden Informationen zu identifizieren.
Alle Arten von Information und Datentrgern mssen sicher entsorgt werden. Hierzu gehren nicht
nur Server-Festplatten, auch Mobiltelefone, USB-Sticks, Ausdrucke oder Fax-Material drfen nicht
vergessen werden.
Vor der Weitergabe von Datentrgern mssen alle Restinformationen sorgfltig gelscht werden.

Die Richtlinien und Vorgaben zum Thema Lschen und Vernichten mssen zielgruppengerecht
aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Lschen und
Vernichten finden sich im Baustein B 1.15 Lschen und Vernichten von Daten und in den weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 1.16

GR 1.16 Anforderungsmanagement

In jeder Institution gibt es eine Vielzahl gesetzlicher, vertraglicher und interner Richtlinien und Vorgaben,
die beachtet werden mssen. Aufgabe der Leitungsebene einer Institution ist es, die Einhaltung der
Anforderungen durch angemessene berwachungsmanahmen sicherzustellen, also "Compliance" zu
gewhrleisten.
-

Es mssen geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den


berblick ber die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu
gewhrleisten. Dafr mssen Verantwortliche benannt und deren Aufgaben in Bezug auf das
Anforderungsmanagement festgelegt werden.
Es sollte eine strukturierte bersicht ber die Anforderungen geben, die fr die Institution und
deren Geschftsprozesse relevant sind. Die bersicht muss auf dem aktuellen Stand gehalten
werden.
Es mssen geeignete Manahmen identifiziert und umgesetzt werden, um Verste gegen
relevante Anforderungen zu vermeiden.
Mitarbeiter, aber auch Besucher und externe Dienstleister mssen auf ihre Sorgfaltspflichten im
Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff
darauf erhalten.
Es muss regelmig berprft werden, ob die Sicherheitsvorgaben, die die Institution zur
Erfllungen der Anforderungen erstellt hat, eingehalten werden. Ebenso muss regelmig
berprft werden, ob die internen Regelungen und die rechtlichen Rahmenbedingungen noch
aktuell sind.
Wenn Verste gegen relevante Anforderungen erkannt werden, mssen sachgerechte
Korrekturmanahmen ergriffen werden, um die Abweichungen zu beheben.

Die Richtlinien und Vorgaben zum Thema Anforderungsmanagement mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema
Anforderungsmanagement finden sich im Baustein B 1.16 Anforderungsmanagement und in den
weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.1

GR 2.1

Gebude

Ein Gebude ermglicht einer Institution durch seine Infrastruktureinrichtungen erst den Betrieb
der Geschftsprozesse und der zugehrigen IT. Es bildet den ueren Schutz der Informationen
und Ressourcen und muss deshalb ausreichend geschtzt werden. Dabei muss einerseits das
Bauwerk (Wnde, Decken, Bden, Dach, Fenster und Tren) betrachtet werden und andererseits alle
gebudeweiten Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung, Rohrpost etc.
-

Schtzenswerte Rume oder Gebudeteile sollten nicht in exponierten oder besonders


gefhrdeten Bereichen untergebracht sein.
Bei der Raumplanung sind die zu erwartenden elektrischen Anschlusswerte und die abzufhrende
Wrmemenge zu bestimmen. Bei nderungen der Raumnutzung oder der IT-Ausstattung sind die
Elektroinstallation und die Khlung zu prfen und anzupassen, wenn ntig.
Es muss ein umfassendes Blitz- und berspannungsschutzkonzept erstellt und realisiert werden
Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind fr die Anforderungen
des Brandschutzes der IT nicht ausreichend. Daher ist ein IT-bezogenes Brandschutzkonzept
zu erstellen und umzusetzen. Es muss ein Brandschutzbeauftragter benannt werden.
Brandschutzbegehungen sollten ein- bis zweimal im Jahr stattfinden.
Der Brandschutzbeauftragte muss ber alle Ttigkeiten an Rohr- und Kabeltrassen, die
Wanddurchbrche, sowie Flure, Flucht- und Rettungswege berhren, informiert sein, um die
ordnungsgeme Ausfhrung von Brandschutzmanahmen zu kontrollieren.
Fr schutzbedrftige Gebudeteile, Rume, Verteiler der Versorgungseinrichtungen (Strom,
Wasser, Gas, Telefon, etc.) ist eine Zutrittsregelung und -kontrolle festzulegen. Hierbei sollten
die betroffenen Bereiche eindeutig bestimmt und die Zahl der zutrittsberechtigten Personen auf
ein Mindestma reduziert werden. Andere Personen sollten erst nach vorheriger Prfung der
Notwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen sollten dokumentiert werden.
Fr alle Schlsser des Gebudes ist ein Schlieplan zu erstellen, dabei ist die Verwaltung der
Schlssel zentral zu regeln. Es mssen Reserveschlssel vorhanden sein und sicher, aber fr
Notflle griffbereit aufbewahrt werden.
In unbenutzten Rumen sind Fenster und nach auen gehende Tren (Balkone, Terrassen) zu
schlieen.
Es sind genaue Lageplne aller Versorgungsleitungen im Gebude und auf dem dazugehrenden
Grundstck zu fhren und alle die Leitungen betreffenden Sachverhalte aufzunehmen.
Fr Notflle sind Alarmierungsplne zu erstellen. Diese sollten unter anderem die Manahmen
enthalten, die bei einem Notfall zu ergreifen sind, welche Gebudeteile zu rumen sind und wer
zu informieren ist. Die Alarmierungsplne sind in regelmigen Abstnden zu berprfen und zu
aktualisieren.

Die Sicherheitsempfehlungen zum Thema Gebude mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Gebude finden sich im
Baustein B 2.1 Gebude und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.2

GR 2.2

Elektrotechnische Verkabelung

Die ordnungsgeme und normgerechte Ausfhrung der elektrotechnischen Verkabelung ist


Grundlage fr einen sicheren IT-Betrieb. Dabei umfasst die elektrotechnische Verkabelung von ITSystemen und anderen Gerten alle Kabel und Verteilungen im Gebude vom Einspeisepunkt des
Verteilungsnetzbetreibers bis zu den Elektro-Anschlssen der Verbraucher.
-

Die elektrotechnische Verkabelung muss fr den Bedarf angemessen sein, eine berlast ist zu
vermeiden.
Fr die elektrotechnische Verkabelung sind geeignete Kabeltypen unter physikalischmechanischer Sicht auszuwhlen, die dem jeweiligen Einsatzzweck gerecht werden.
Bei der Auswahl der Trassensysteme ist darauf zu achten, dass gengend Platz fr alle ber
die Trasse gefhrten Kabel vorhanden ist und dass Normen beim Verlegen der Kabel, wie z. B.
maximale Biegeradien der Kabel, eingehalten werden.
Brandschutzbestimmungen mssen auf jeden Fall beachtet und elektrische Zndquellen,
wie z. B. nicht berprfte Steckdosenleisten oder hnliches, vermieden werden. Der
Brandschutzbeauftragte ist aus diesen Grnden frhzeitig mit einzubeziehen.
Es muss ein geeigneter berspannungsschutz vorhanden sein, um mgliche Schden an
IT-Gerten in Netzen durch direkten Blitzeinschlag, Einkopplung und Schalthandlungen
zu reduzieren. berspannungsschutzeinrichtungen sollten periodisch und nach bekannten
Ereignissen geprft und ersetzt werden, wenn dies erforderlich ist.
Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denen
das Kabel oder Verteiler zugnglich sind, sollte auf ein Mindestma reduziert werden.
Die elektrotechnische Verkabelung ist so zu gestalten, dass Fehlerstromfreiheit gewhrleistet ist,
da solche Fehlerstrme zu schdlichen Ausgleichsstrmen auf Schirmungen fhren knnen. Die
Fehlerstromfreiheit muss im laufenden Betrieb aufrechterhalten werden.
Insofern Vernderungen an der elektrotechnischen Verkabelung vorgenommen werden oder
Gebude und Rume neu verkabelt werden, ist die elektrotechnische Verkabelung genau zu
dokumentieren, beispielsweise auf einem Gebude- oder Raumplan. Bei der Dokumentation an
den Kabeln ist darauf zu achten, dass diese fr Befugte nachvollziehbar, aber ansonsten neutral
ist.
Nicht bentigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr von
elektrischen Strungen, z. B. durch das Verschleppen von berspannungen, reduziert.
Die Verwendung von Mehrfachsteckdosen sollte wegen der Brandgefahr konsequent vermieden
werden. Fehlende Steckdosen sollten nachgerstet werden.

Die Sicherheitsempfehlungen zum Thema Elektrotechnische Verkabelung mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema
Elektrotechnische Verkabelung finden sich im Baustein B 2.2 Elektrotechnische Verkabelung und in den
weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.3

GR 2.3

Broraum

Der Broraum ist ein Raum, in dem sich ein oder mehrere Personen aufhalten, um dort der Erledigung
ihrer Aufgaben nachzugehen. Diese Aufgaben knnen (auch IT-untersttzt) aus den verschiedensten
Ttigkeiten bestehen: Erstellung von Schriftstcken, Bearbeitung von Karteien und Listen, Durchfhrung
von Besprechungen und Telefonaten, Lesen von Akten und sonstigen Unterlagen.
-

Alle Brorume sollten gegen unbefugten Zutritt ausreichend geschtzt sein. Dafr muss
festgelegt werden, wer zu welchen Rumen unter welchen Bedingungen Zutritt erh
Fenster und Tren sind zu verschlieen, wenn ein Raum nicht besetzt ist.
Brorume mssen so ausgestattet sein, dass schutzbedrftige Datentrger und Dokumente
weggeschlossen werden knnen. Dazu mssen beispielsweise verschliebare Schreibtische,
Rollcontainer oder Schrnke vorhanden sein.
In Bros mit Publikumsverkehr sollten Diebstahlsicherungen zum Schutz von IT-Systemen (z. B.
Laptops) vorgesehen werden, da andernfalls die Gefahr relativ gro ist, dass solche Gerte in
einem unbewachten Augenblick "verschwinden".
Arbeitspltze sollten unter ergonomischen Gesichtspunkten eingerichtet werden. Das
Arbeitsumfeld sollte gegen Strungen durch Lrm oder Staub so gut wie mglich abgeschirmt
sein.
Alle Mitarbeiter mssen darauf hingewiesen werden, dass auch in Brorumen die vorhandenen
IT-Gerte, Zubehr, Software oder Daten ausreichend gegen Diebstahl, Zerstrung und
Vernderungen geschtzt werden mssen.

Die Sicherheitsempfehlungen zum Thema Brorume mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Brorume finden sich im
Baustein B 2.3 Broraum und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.4

GR 2.4

Serverraum

Server sollten in speziellen Serverrumen untergebracht werden, in dem auch weitere serverspezifische
Unterlagen, Datentrger oder Hardware (wie z. B. Router, Switches oder Klimatechnik) vorhanden sein
knnen. Ein Serverraum ist ein geschlossener Sicherheitsbereich. Er ist kein stndiger Arbeitsplatz und
sollte lediglich fr sporadische und kurzfristige Aufgaben betreten werden.
-

Ein Serverraum muss Server und die anderen aufgestellten IT-Gerte angemessen physisch
schtzen. Er muss vor unbefugtem Zutritt geschtzt sein, eine angemessene Stromversorgung
und Klimatisierung bieten. Auerdem muss er ausreichenden Brandschutz und Schutz vor
Wasser- und anderen Umweltschden bieten.
Der Zutritt zum Serverraum muss auf die Personen beschrnkt werden, die direkten Zugriff
auf Server und sonstige im Serverraum installierte IT-Gerte bentigen. Neben hochwertigen
Zutrittskontrollmechanismen sollten Sicherheitstren und -fenster eingebaut werden. Serverrume
sollten grundstzlich verschlossen werden, wenn sie nicht besetzt sind.
Serverrume sollten so geplant bzw. ausgewhlt werden, dass potentielle Gefhrdungen durch
Umgebungseinflsse minimiert werden.
Es ist fr ausreichenden Brandschutz zu sorgen. Es muss ein absolutes Rauchverbot verhngt
werden. In jedem Serverraum sollten Handfeuerlscher, die fr elektronische Gerte geeignet
sind, und Not-Aus-Schalter griffbereit vorhanden sein.
Es sollten nach Mglichkeit keine Versorgungsleitungen, z. B. fr Wasser oder Gas, durch den
Serverraum verlaufen.
Auf eine ausreichende Klimatisierung des Serverraumes ist zu achten.
Die im Serverraum verwendeten Stromkreise mssen so ausgelegt sein, dass sie den
tatschlichen Bedrfnissen der vorhandenen Technik gengen.
Damit es durch Spannungsspitzen im Stromnetz nicht zur Schdigung der elektrischen Gerte im
Serverraum kommt, mssen Manahmen zum berspannungsschutz und gegen elektrostatische
Aufladung getroffen werden.
Es sollte eine (oder mehrere) unterbrechungsfreie Stromversorgung im Serverraum vorhanden
sein, um einen kurzzeitigen Stromausfall zu berbrcken. Die Stromversorgung sollte zumindest
solange aufrechterhalten bleiben, dass ein geordnetes Herunterfahren der angeschlossenen
Systeme mglich ist.

Die Sicherheitsempfehlungen zum Thema Serverraum mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Serverraum finden sich im
Baustein B 2.4 Serverraum und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.5

GR 2.5

Datentrgerarchiv

Ein Datentrgerarchiv dient der Lagerung von Datentrgern jeder Art. Bei zentralen Datentrgerarchiven
und Datensicherungsarchiven ist die Nutzung von Datensicherungsschrnken empfehlenswert, um den
Brandschutz, den Schutz gegen unbefugten Zugriff und die Durchsetzung von Zugangsberechtigungen
zu untersttzen.
-

Ein Datentrgerarchiv muss einen angemessen physischen Schutz fr die dort gelagerten
Datentrger bieten. Es muss vor unbefugtem Zutritt geschtzt sein, eine angemessene
Stromversorgung und Klimatisierung bieten. Auerdem muss es ausreichenden Brandschutz und
Schutz vor Wasser- und anderen Umweltschden bieten.
Der Zutritt zum Datentrgerarchiv muss auf die Personen beschrnkt werden, die im
Rahmen ihrer Aufgaben direkten Zugriff auf die Datentrger bentigen. Neben hochwertigen
Zutrittskontrollmechanismen sollten Sicherheitstren und -fenster eingebaut werden. Ein
Datentrgerarchiv sollte grundstzlich abgeschlossen sein, solange sich dort niemand aufhlt.
Datentrgerarchive sollten so geplant bzw. ausgewhlt werden, dass potentielle Gefhrdungen
durch Umgebungseinflsse minimiert werden.
Es ist fr ausreichenden Brandschutz zu sorgen, die Rume sollten ber eine
Gefahrenmeldeanlage verfgen. Es muss ein absolutes Rauchverbot verhngt werden.
Handfeuerlscher sollten griffbereit vorhanden sein.
Es sollten nach Mglichkeit keine Versorgungsleitungen, z. B. fr Wasser oder Gas, durch ein
Datentrgerarchiv verlaufen.
Auf eine ausreichende Klimatisierung des Datentrgerarchivs ist zu achten.

Die Sicherheitsempfehlungen zum Thema Datentrgerarchiv mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Datentrgerarchiv finden
sich im Baustein B 2.5 Datentrgerarchiv und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.6

GR 2.6

Raum fr technische Infrastruktur

In Rumen fr technische Infrastruktur werden Gerte und Einrichtungen untergebracht, die selten oder
nie direkt von Menschen bedient werden mssen. Im Allgemeinen finden sich hier Verteiler fr die
internen Versorgungsnetze, Sicherungen der Elektroversorgung oder auch Netzkoppel-Elemente. Es
knnen hier auch Netzserver untergebracht werden, wenn kein separater Serverraum vorhanden ist.
-

Ein Raum fr technische Infrastruktur muss eine hinreichende physische Sicherheit bieten.
Er muss vor unbefugtem Zutritt geschtzt sein, eine angemessene Stromversorgung und
Klimatisierung bieten. Auerdem muss er ausreichenden Brandschutz und Schutz vor Wasserund anderen Umweltschden bieten.
Der Zutritt zu Rumen fr technische Infrastruktur muss auf die Personen beschrnkt werden, die
mit den entsprechenden technischen Wartungsaufgaben betraut sind.
Rume fr technische Infrastruktur sollten grundstzlich immer verschlossen sein, wenn die dort
aufgestellten Gerte nicht so in Schrnken verschlossen sind, dass keine unbefugte Nutzung
mglich ist.
Es ist fr ausreichenden Brandschutz zu sorgen. Es muss ein absolutes Rauchverbot verhngt
werden. Es sollten Handfeuerlscher, die fr elektronische Gerte geeignet sind, und Not-AusSchalter griffbereit vorhanden sein.
Es sollten nach Mglichkeit keine Versorgungsleitungen, z. B. fr Wasser oder Gas, durch Rume
fr technische Infrastruktur verlaufen.
Die Stromkreise mssen so ausgelegt sein, dass sie den tatschlichen Bedrfnissen der
vorhandenen Technik gengen. Damit es durch Spannungsspitzen im Stromnetz nicht zur
Schdigung der elektrischen Gerte kommt, mssen Manahmen zum berspannungsschutz
getroffen werden.
Bei erhhten Sicherheitsanforderungen sollten Infrastrukturrume darber hinaus durch
besonders gesicherte Tren und Fenster auch gegen gewaltsames Eindringen geschtzt werden,
da sie oft bevorzugte Angriffsziele darstellen.

Die Sicherheitsempfehlungen zum Thema Raum fr technische Infrastruktur mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Raum fr technische Infrastruktur finden sich im Baustein B 2.6 Raum fr technische Infrastruktur
und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.7

GR 2.7

Schutzschrnke

Schutzschrnke dienen zur Aufbewahrung von Datentrgern jeder Art oder zur Unterbringung
von informationstechnischen Gerten ("Serverschrank"). Schutzschrnke sollen den Inhalt gegen
unbefugten Zugriff und/oder gegen die Einwirkung von Feuer, Wasser oder schdigenden Stoffen (z. B.
Staub) schtzen. Schutzschrnke knnen auch in Serverrumen oder Datentrgerarchiven eingesetzt
werden, um die Schutzwirkung der Rume zu erhhen.
-

Schutzschrnke sind so ausgelegt, dass sie vor bestimmten Bedrohungen schtzen knnen.
Damit der fr den jeweiligen Einsatzzweck geeignete Schutzschrank ausgewhlt wird, mssen
aus den geplanten Einsatzszenarien die Anforderungen an den Schutzschrank abgeleitet werden
(Einsatzplanung).
Der Schutzschrank sollte ausreichend dimensioniert sein. Bei Serverschrnken sollte darauf
geachtet werden, dass Administrationsarbeiten am Server ungehindert durchgefhrt werden
knnen.
Der Zugriff auf den Schutzschrank muss auf die Personen beschrnkt werden, die aufgrund ihrer
Aufgaben direkten Zugriff auf die darin befindlichen IT-Systeme oder Datentrger bentigen.
Daher muss bei der Beschaffung auf die Gte des Schlosses geachtet werden. Schutzschrnke
mssen bei Nichtbenutzung verschlossen werden.
Bei einer Nutzung als Serverschrank knnen auch eine Klimatisierung und/oder eine USVVersorgung erforderlich sein. Die entsprechenden Gerte sollten dann im Schrank mit
untergebracht werden. Andernfalls muss zumindest eine Lftung vorhanden sein. Es ist zu
empfehlen, den Schrank mit einem lokal arbeitenden Brandfrherkennungssystem auszustatten.
Bei der Aufstellung von Schutzschrnken ist die zulssige Deckenbelastung am Aufstellungsort
zu bercksichtigen. Wenn Schutzschrnke in wenig gesicherten Umgebungen aufgestellt werden,
sollten sie in der Wand oder im Boden verankert werden.

Die Sicherheitsempfehlungen zum Thema Schutzschrnke mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Schutzschrnke finden sich im
Baustein B 2.7 Schutzschrnke und in den weiteren Bereichen der IT-Grundschutz-Katalog

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.8

GR 2.8

Huslicher Arbeitsplatz

Ein huslicher Arbeitsplatz kann zum Beispiel von Telearbeitern, freien Mitarbeitern oder Selbstndigen
genutzt werden. Bei einem huslichen Arbeitsplatz kann nicht die infrastrukturelle Sicherheit, wie sie
in einer Broumgebung innerhalb der Rumlichkeiten einer Institution anzutreffen ist, vorausgesetzt
werden. Sobald dienstliche Aufgaben daher nicht in den Rumen des Unternehmens bzw. der
Behrde, sondern in der huslichen Umgebung wahrgenommen werden, sind Sicherheitsmanahmen
zu ergreifen, die eine mit einem Broraum vergleichbare Sicherheitssituation erreichen lassen.
-

Ein huslicher Arbeitsplatz sollte von der brigen Wohnung durch eine Tr abgetrennt sein. Es ist
sinnvoll, fr einen huslichen Arbeitsplatz ein getrenntes Arbeitszimmer einzurichten.
Der husliche Arbeitsplatz muss ber eine geeignete Einrichtung verfgen. Dazu gehren
neben ausreichend Platz geeignete Brombel, Beheizungs- und Belftungsmglichkeiten, eine
ausreichende Beleuchtung sowie Strom- und Telefonanschlsse.
Dienstliche Unterlagen und Datentrger mssen am huslichen Arbeitsplatz so aufbewahrt
werden, dass kein Unbefugter darauf zugreifen kann. Daher mssen ausreichende verschliebare
Behltnisse (Schreibtisch, Rollcontainer, Schrank, etc.) vorhanden sein.
Es ist zu regeln, welche Informationen am huslichen Arbeitsplatz bearbeitet und zwischen der
Institution und dem huslichen Arbeitsplatz hin und her transportiert werden drfen und welche
Schutzvorkehrungen dabei zu treffen sind.
Fenster und Tren sind zu verschlieen, wenn der husliche Arbeitsplatz nicht besetzt ist.
Vertrauliche Informationen (z. B. Notizen, alte Datensicherungen) mssen sicher entsorgt werden.
Sie drfen nicht einfach in den Hausmll geworfen werden.

Die Sicherheitsempfehlungen zum Thema Huslicher Arbeitsplatz mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Huslicher
Arbeitsplatz finden sich im Baustein B 2.8 Huslicher Arbeitsplatz und in weiteren Bereichen der ITGrundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.9

GR 2.9

Rechenzentrum

Als Rechenzentrum werden die fr den Betrieb von greren, zentral fr mehrere Stellen eingesetzten
Informations- und Kommunikationssystemen erforderlichen Einrichtungen bezeichnet. Beispiele hierfr
sind Rumlichkeiten fr groe Rechner- und Drucksysteme sowie zentrale digitale Archive. Ein
Rechenzentrum ist entweder stndig personell besetzt oder durch eine Rufbereitschaft erreichbar.
Um dem gestiegenen Leistungsbedarf auf Anwendungs-, System- und Netzebene gerecht zu
werden, haben viele Unternehmen mittlerer Gre ihre IT-Landschaft auf Rechenzentren umgestellt
beziehungsweise ihre Produktiv-Hardware in ein Rechenzentrum verlagert.
-

Bei der Planung und beim Betrieb eines Rechenszentrums ist auf eine hinreichende physische
Sicherheit zu achten. Das Rechenzentrum sollte als geschlossener Sicherheitsbereich konzipiert
sein.
Der Zutritt zu schutzbedrftigen Gebudeteilen und Rumen ist zu regeln und zu kontrollieren.
Die Manahmen reichen dabei von einer einfachen Schlsselvergabe bis zu aufwendigen
Identifizierungs- und Zutrittskontrollsystemen.
Zutritt zum Rechenzentrum sollten nur diejenigen Personen erhalten, die zur Durchfhrung
ihrer Aufgaben direkten Zugriff auf im Rechenzentrum installierte Gerte, Kabel und
Infrastruktureinrichtungen bentigen. Personal zur Reinigung oder Wartung sollte
vertrauenswrdig sein und nur unter berwachung Zutritt erhalten.
Fr die in Rechenzentren betriebenen IT-Komponenten wird ein hohes Ma an Verfgbarkeit
gefordert. Die infrastrukturellen und technischen Anlagen sollten daher zur berbrckung
einzelner Ausflle redundant ausgelegt sein.
Um einen ausreichenden Brandschutz zu gewhrleisten, sollten im Rechenzentrum unter anderem
Lschgerte und eine Brandmeldeanlage vorhanden sein. In angemessenen Abstnden sind
Alarmierungs- und Brandschutzbungen durchzufhren.
Unntige Brandlasten, wie Verpackungsmaterial oder Altakten, haben in Rechenzentren nichts zu
suchen und sollten in dafr vorgesehenen Lagerrumen oder Archiven aufbewahrt werden.
In Gebuden, die auch noch anderweitig genutzt werden, sollte das Rechenzentrums in einem
eigenen Brandabschnitt gewhlt werden. Rechenzentren sollten nach auen keinen Hinweis auf
ihre Nutzung tragen.
Fenster und Tren in einem Rechenzentrum mssen geschlossen und zu Zeiten, in denen es
nicht besetzt ist, abgeschlossen sein. Auerdem sind einbruchhemmende, feuerhemmende und
rauchdichte Sicherheitstren und -fenster zu verwenden.
Ein generelles Rauchverbot sollte selbstverstndlich sein. Dieses Rauchverbot dient
gleichermaen dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mit
mechanischen Funktionseinheiten.

Die Sicherheitsempfehlungen zum Thema Rechenzentrum mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Rechenzentrum finden sich im
Baustein B 2.9 Rechenzentrum und in verwandten Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.10

GR 2.10 Mobiler Arbeitsplatz

Dienstliche Aufgaben werden hufig nicht mehr nur in den Rumen der Institution selber
wahrgenommen, sondern an wechselnden Arbeitspltzen und in unterschiedlichen Umgebungen. Die
dabei verarbeitenden Informationen mssen angemessen geschtzt werden, in Wort, Schrift und IT.
Die Leistungsfhigkeit von mobilen IT-Systemen wie beispielsweise Laptops, Handys und PDAs wchst
stndig und lsst es zu, groe Mengen geschftsrelevanter Informationen auerhalb der Rume der
jeweiligen Institution zu bearbeiten. Dabei ist zu beachten, dass die infrastrukturelle Sicherheit nicht der
einer Broumgebung entspricht.
-

Fr die Verarbeitung von Informationen auerhalb der Institutionsgrenzen sind klare Regelungen
zu treffen. Fr alle Arbeiten unterwegs ist zu regeln, welche Informationen auerhalb des
Unternehmen bzw. der Behrde transportiert und bearbeitet werden drfen und welche
Schutzvorkehrungen dabei zu treffen sind.
Die Art und der Umfang der Mitnahme von Datentrgern und IT-Komponenten ist klar zu regeln.
So muss festgelegt werden, welche mobilen Datentrger verwendet und welche Informationen
darauf transportiert werden drfen. Vor allem die Nutzung von mobilen Endgerten muss klar
geregelt sein.
Die Nutzer von mobilen Endgerten sind fr den Wert mobiler IT-Systeme und den Wert
der darauf gespeicherten Informationen zu sensibilisieren. Sie sollten ber die spezifischen
Gefhrdungen und Manahmen der von ihnen benutzten Gerte aufgeklrt werden.
Bei der mobilen Arbeit ist sicherzustellen, dass Dritte beispielsweise durch Mithren im Zug
oder Mitlesen auf einem Laptop-Bildschirm keine wichtigen Informationen erfahren. Sensible
Informationen sollten daher ausserhalb der geschtzen Broumgebung nicht bearbeitet werden.
An mobilen Arbeitspltzen sollten weder dienstliche Unterlagen noch mobile IT-Systeme
unbeaufsichtigt bleiben. Sie sollten zumindest gegen einfache Wegnahme gesichert werden,
also beispielsweise mit Diebstahlsicherungen versehen, in Schrnke geschlossen oder andere,
einfache Manahmen ergriffen werden.
Es ist sicherzustellen, dass Datentrger auch beim mobilen Einsatz sicher entsorgt werden. Vor
der Entsorgung ausgedienter oder defekter Datentrger und Dokumente ist genau zu berlegen,
ob diese sensible Informationen enthalten. In diesem Fall mssen die Datentrger und Dokumente
wieder mit zurck transportiert werden und auf institutseigenem Wege entsorgt bzw. vernichtet
werden.
Wenn eine Verarbeitung von Informationen auf fremden IT-Systemen, beispielsweise in einem
Internet-Caf oder bei einem Kunden, notwendig ist, ist sicherzustellen, dass keine vertraulichen
Informationen verarbeitet werden. Vor allem ist darauf zu achten, dass gewhrleistet ist, dass die
Informationen sicher vernichtet werden und beispielsweise der Browser Cache nach dem Besuch
des Firmenintranets gelscht wird.

Die Sicherheitsempfehlungen zum Thema Mobiler Arbeitsplatz mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Mobiler Arbeitsplatz finden
sich im Baustein B 2.10 Mobiler Arbeitsplatz und in den weiteren Bereichen der IT-GrundschutzKataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.11

GR 2.11 Besprechungs-, Veranstaltungsund Schulungsrume

Besprechungs-, Veranstaltungs- und Schulungsrume werden von wechselnden Personen bzw.


Personenkreisen (sowohl von eigenem Personal als auch durch Externe) genutzt. Dabei kann
die Nutzungsdauer stark variieren. In diesen Rumen werden Informationen mit unterschiedlichem
Schutzbedarf bearbeitet und ausgetauscht.
-

Es mssen Sicherheitsregeln fr die Nutzung der Besprechungs-, Veranstaltungs- und


Schulungsrume erstellt werden sowie technisch und organisatorisch umgesetzt werden. Dies
umfasst Verhaltenshinweise genereller Art fr die Benutzer, aber auch Vorgaben zur Benutzung
sowohl fest installierter als auch mitgebrachter IT-Gerte.
Die in Besprechungs-, Veranstaltungs- und Schulungsrume besprochenen und ausgetauschten
Informationen mssen entsprechend ihres Schutzbedarfs gegen unbefugte Kenntnisnahme
geschtzt werden. Beim Austausch und der Verarbeitung von elektronischen Informationen muss
sichergestellt sein, dass diese nicht die internen IT-Systeme gefhrden knnen
Externe Teilnehmer von Besprechungen oder Schulungen sollten auerhalb der Besprechungsund Schulungsrume nicht unbeaufsichtigt sicherheitsrelevante Bereiche der Institution betreten
knnen.
Es muss geklrt werden, unter welchen Rahmenbedingungen Externe mitgebrachte IT-Systeme
wie Handys oder Laptops einsetzen drfen.
Die in Besprechungs-, Veranstaltungs- und Schulungsrumen vorhandene IT muss entsprechend
den Erfordernissen konfiguriert und administriert werden. Dabei mssen auch Zustndigkeiten fr
Administration und Problembehandlung festgelegt werden.
IT-Systeme, die dauerhaft in Besprechungs-, Veranstaltungs- und Schulungsrumen betrieben
werden, mssen sicher konfiguriert sein, so dass sie vor Manipulationen und vor Schadsoftware
geschtzt sind. Hierfr sollten Standardkonfigurationen vordefiniert sein, damit sie schnell neu
installiert werden knnen und ein Mindestniveau an Sicherheit gewhrleistet ist.
IT-Systeme in Besprechungs- und Schulungsrumen sollten restriktiv konfiguriert und gehrtet
sein. Es sollten Sicherheitsprogramme installiert sein, wie z. B. Virenschutz-Programm, Personal
Firewall und Integrittsprfprogramm.
Es drfen weder durch eigene, noch durch fremde IT externe Verbindungen unter Umgehung
der internen Sicherheitsmanahmen, z. B. der Firewall, geschaffen werden. Daher sind alle
Benutzer auf die Gefahren hinzuweisen, die mit der Schaffung "wilder" Zugnge verbunden sind.
Es muss auch klare Regelungen fr Zugriffe auf LAN- und TK-Schnittstellen aus Besprechungsund Schulungsrumen geben.

Die Sicherheitsempfehlungen zum Thema Besprechungs-, Veranstaltungs- und Schulungsrume


mssen zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen
zum Thema Besprechungs-, Veranstaltungs- und Schulungsrume finden sich im Baustein B 2.11
Besprechungs-, Veranstaltungs- und Schulungsrume und weiteren Bereichen der IT-GrundschutzKataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 2.12

GR 2.12 IT-Verkabelung

Die IT-Verkabelung ist die physikalische Grundlage der internen Kommunikationsnetze einer Institution
und reicht von den bergabepunkten aus einem Fremdnetz bis zu den Anschlusspunkten der
Netzteilnehmer. Zu den aktiven Netzkomponenten, wie z. B. Router oder Switches, sowie fr die
elektrotechnische Verkabelung sind eigene goldenen Regeln definiert und bei den entsprechenden
Bausteinen zu finden.
-

Bevor grere Vernderungen an der IT-Verkabelung oder eine Neuverkabelung von


Rumen oder Gebuden vorgenommen werden soll, muss eine Anforderungsanalyse
durchgefhrt werden. Diese bildet die Grundlage fr die Auswahl geeigneter Kabeltypen die
dem jeweiligen Einsatzzweck, wie z. B. Primr-, Sekundr- oder Tertir-Verkabelung, gerecht
werden. Die Kabel sind dabei nicht nur aus physikalisch-mechanischer, sondern auch aus
kommunikationstechnischer Sicht auszuwhlen.
Es muss darauf geachtet werden, dass ausreichend Platz fr Kabel in den Trassen vorhanden ist.
Auch mssen Normen beim Verlegen der IT-Kabel, wie z. B. Biegeradien oder maximale Lngen,
eingehalten werden. Die Installation der IT-Kabel sollte mit besonderer Sorgfalt und nur durch
ausreichend geschultes Personal oder durch einen externen Fachbetrieb erfolgen.
Fr die Wartung, Fehlersuche, Instandsetzung und fr eine erfolgreiche berprfung der
Verkabelung ist eine nachvollziehbare und aktuelle Dokumentation und eine eindeutige
Kennzeichnung aller zugehrigen Komponenten erforderlich. Die IT-Verkabelung ist daher genau
zu dokumentieren und die einzelnen Kabel und Trassen beispielsweise auf Gebudeplnen
einzutragen. Bei einer Installation durch einen Drittanbieter ist bei der Abnahme der ITVerkabelung auch zu berprfen, ob die Dokumentation vollstndig und nachvollziehbar ist.
Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denen
Kabel oder Verteiler zugnglich sind, sollte auf ein Mindestma reduziert werden.
Bei der Dokumentation an den Kabeln ist darauf zu achten, dass diese fr Befugte
nachvollziehbar, aber ansonsten neutral ist, damit keine Rckschlsse auf Art der bertragenen
Daten und die Wichtigkeit des IT-Kabels gezogen werden knnen.
Bestehende Verbindungen sind regelmig zu berprfen, ob diese noch mit den dokumentierten
Netzteilnehmern verbunden sind und noch die Aufgabe erfllen, fr die sie installiert wurden. Auch
sind die Kabel auf evtl. Beschdigungen etc. zu berprfen.
Nicht bentigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr von
elektrischen Strungen, z. B. durch das Verschleppen von berspannungen, reduziert.

Die Sicherheitsempfehlungen zum Thema IT-Verkabelung mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema IT-Verkabelung finden sich im
Baustein B 2.12 IT-Verkabelung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.101

GR 3.101 Allgemeiner Server

Server sind IT-Systeme, die Dienste (Services) fr andere IT-Systeme (Clients) im Netz anbieten.
Fr Server stehen unterschiedliche Betriebssysteme zur Verfgung, unter anderem Unix bzw. Linux,
Microsoft Windows und Novell Netware. Betrachtet werden Sicherheitsaspekte, die unabhngig vom
eingesetzten Betriebssystem fr Server relevant sind.
-

Server mssen an Orten betrieben werden, zu denen nur berechtigte Personen Zutritt haben.
Server sollten daher grundstzlich in Rechenzentren, Rechnerrumen oder abschliebaren
Serverschrnken aufgestellt beziehungsweise eingebaut werden. Dabei ist zu regeln, wer Zutritt
zu den Rumen beziehungsweise Zugriff auf die Server selbst erhlt. Server sollten nicht als
Arbeitsplatzrechner genutzt werden.
Alle Server mssen an unterbrechungsfreie Stromversorgungen (USV) angeschlossen
werden, damit Stromausflle solange berbrckt werden knnen, bis entweder die (Ersatz-)
Energieversorgung wieder sichergestellt ist oder die Server geordnet heruntergefahren sind.
Zugriffsrechte auf Dateien, die auf Servern gespeichert sind, mssen restriktiv vergeben werden.
Jeder Benutzer darf nur auf die Dateien Zugriffsrechte erhalten, die er fr seine Aufgabenerfllung
bentigt.
Das gesamte Netz einer Organisation sollte durch ein entsprechendes Sicherheitsgateway
geschtzt sein. Server, die Dienste nach auen hin anbieten, sollten in einer Demilitarisierten
Zone (DMZ) aufgestellt werden.
Server sollten mglichst nicht im selben IP-Subnetz wie die Clients platziert werden. Wenn Server
zumindest durch einen Router von den Clients getrennt sind, bestehen wesentlich bessere
Mglichkeiten zur Steuerung des Zugriffs und zur Erkennung von Anomalien im Netzverkehr, die
auf mgliche Probleme hindeuten.
Server knnen beispielsweise lokal ber eine Konsole, ber das Netz oder ber ein zentrales
netzbasiertes Tool administriert werden. Abhngig von der genutzten Zugriffsart mssen
geeignete Sicherheitsvorkehrungen getroffen werden.
Es ist zu entscheiden, welche Informationen durch die Server mindestens protokolliert
werden sollen, wie lange die Protokolldaten aufbewahrt werden sollen und wer unter welchen
Voraussetzungen die Protokolldaten einsehen darf.
Nicht bentigte Netzdienste von Servern mssen deaktiviert oder deinstalliert werden.

Die Sicherheitsempfehlungen zum Thema Allgemeiner Server mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Allgemeiner Server finden
sich im Baustein B 3.101 Allgemeiner Server und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.102

GR 3.102 Server unter Unix

Unix-Server sind Rechner mit dem Betriebssystem Unix, die in einem Netz Dienste anbieten, die von
anderen IT-Systemen in Anspruch genommen werden knnen. Betrachtet werden Sicherheitsaspekte
der Unix-Familie, neben klassischen Unix-Systemen auch unix-hnliche Systeme wie Linux.
-

Fr den Mountpoint "/var" sollte eine eigene Partition, beziehungsweise Slice, verwendet werden.
Bei verschiedenen Derivaten knnen Partitionen zustzlich in Slices unterteilt werden.
Der unkontrollierte Zugang zum Single-User-Modus muss verhindert werden. Beim Booten in den
Single-User-Modus sollte daher das Super-User-Passwort abgefragt werden.
Die Passwrter drfen nicht in der allgemein lesbaren Datei /etc/passwd, sondern in einer fr
die Benutzer nicht lesbaren shadow-Passwortdatei gespeichert sein. Die Datei /etc/passwd ist
regelmig auf Benutzer-Kennungen ohne Passwort zu untersuchen. Wird eine solche gefunden,
ist der Benutzer zu sperren. Benutzer und Gruppen, die nicht bentigt werden, sind zu entfernen.
Das s-Bit bei allen Dateien sollte nur gesetzt sein, wenn es unbedingt erforderlich ist. Bei
Shellskripten sollte das s-Bit nicht gesetzt sein. Das s-Bit darf nur vom Administrator gesetzt
werden, die Notwendigkeit hierfr ist zu begrnden und zu dokumentieren.
Es sollte berprft werden, welche Dienste auf dem Unix-Server laufen. Nicht bentigte Dienste
sollten deaktiviert oder entfernt werden. Die Dienste rshd, rlogind, rexecd sollten unbedingt
deaktiviert werden, da sie unsicher sind. Wenn das System nicht als Mailserver fungiert, sollte der
oft in der Standard-Installation aktivierte Maildaemon als Netzdienst deaktiviert werden. Aus der
Konfigurationsdatei /etc/inetd.conf sollten alle nicht bentigten Eintrge entfernt werden.
Der Dienst "Telnet" muss deaktiviert werden. Wird ein Administrationszugang bentigt, kann statt
"Telnet" auch "ssh" eingesetzt werden. Es sollte die ssh-Version 2 (SSH-2) verwendet werden.
In den meisten Unix-Systemen gibt es nur eine Administrationsrolle ("root"). Die direkte
Anmeldung als "root" sollte unterbunden werden. Statt dessen sollten sich die Administratoren nur
als normale Benutzer anmelden drfen und nur fr die Erfllung einzelner Aufgaben "root"-Rechte
erlangen knnen.
Die Protokollmglichkeiten des einzelnen Unix-Systems sind einzusetzen und die ProtokollDateien mssen regelmig ausgewertet werden. Die Konfigurationsdatei /etc/syslog.conf ist fr
die Aktivierung der Protokollfunktionen anzupassen.
Sicherheitskritische Softwarefehler mssen durch Updates beseitigt oder durch andere
Manahmen verhindert werden. Aktualisierungen und Updates des Kernels sollten insbesondere
bei bekannten Schwachstellen durchgefhrt werden, das Update ist wegen einer hohen
Fehleranflligkeit und einen erforderlichen Neustart zu planen.

Die Sicherheitsempfehlungen zum Thema Server unter Unix mssen zielgruppengerecht aufbereitet
und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Server unter Unix finden
sich im Baustein B 3.102 Server unter Unix und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.105

GR 3.105 Server unter Novell Netware


Version 4.x

Novell Netware wird auf PC-Servern betrieben und stellt im wesentlichen die Infrastrukturdienste
Authentisierung, Verzeichnisdienst, Dateidienst, Druckdienst und Protokolldienst in einem Netz zur
Verfgung. Betrachtet werden Sicherheitsaspekte des Betriebssystem Novell Netware 4.x.
-

Fr den Entwurf des NDS (Novell Directory Services)-Verzeichnisbaumes sollte eine grndliche
und sorgfltige Planung durchgefhrt werden.
Vor der Installation sollte das Handbuch Installation fr Novell Netware 4.x durchgearbeitet und die
Sicherheitsempfehlungen daraus umgesetzt werden.
Ein wesentlicher Punkt bei der sicheren Einrichtung von Netware 4.x Netzen ist das Anlegen von
Benutzer-Accounts. Zu diesem Zweck sollten Schablonen (Templates) fr Standard-Benutzer des
jeweiligen Kontextes angelegt werden.
Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu verhindern,
sollte die Systemadministration Benutzergruppen und Benutzern in den ihnen zugewiesenen
Verzeichnissen und Dateien die Rechte "Supervisor" (S) und "Access Control" (A) nicht erteilen
drfen.
Der Account des Benutzers "Admin" sollte bei der tglichen Administrationsarbeit nicht verwendet,
sondern nur in Notfllen benutzt werden. Fr Administratoren sollten daher spezielle BenutzerAccounts der Netware Sicherheitsstufe "Supervisor" eingerichtet werde
Die Konsole muss regelmig auf Meldungen beobachtet werden.
Die Stabilitt eines Netware 4.x Netzes hngt wesentlich von der Zeitsynchronisation ab und
steht im direkten Zusammenhang mit den Novell Directory Services (NDS). Die Uhren smtlicher
Netware-Server der NDS drfen nicht mehr als zwei Sekunden voneinander abweichen.

Die Sicherheitsempfehlungen zum Thema Server unter Novell Netware Version 4.x mssen
zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Server unter Novell Netware Version 4.x finden sich im Baustein B 3.105 Server unter Novell
Netware Version 4.x und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.106

GR 3.106 Server unter Windows 2000

Ein Server mit dem Betriebssystem Windows 2000 wird hufig eingesetzt, um in kleinen, mittleren oder
groen Rechnernetzen Serverdienste bereitzustellen. Schwachstellen auf der Betriebssystemebene
eines Servers knnen die Sicherheit aller Anwendungen und angeschlossenen IT-Systeme
beeintrchtigen, ein Server unter Windows 2000 sollte daher besonders geschtzt werden.
-

Schon in der Planungsphase eines Windows 2000 Servers ist ein Konzept fr die berwachung
dieses Systems zu erarbeiten. Hierbei ist festzulegen, in welchen Intervallen welche
Informationen protokolliert werden sollten, um gewhrleisten zu knnen, dass die festgelegten
Sicherheitsrichtlinien eingehalten werden.
Windows 2000 stellt eine Reihe von Werkzeugen und Mechanismen zur Verfgung, die fr
die Administration verwendet werden sollten. Hierbei sind vor allem Windows File Protection
zur Sicherstellung der Integritt von Systemdateien und der Sicherheitseditor secedit fr
die Konfiguration von Sicherheitseinstellungen von Bedeutung. In einer Domne sollten die
Sicherheitseinstellungen zentral ber die Gruppenrichtlinien geregelt werden, die ebenfalls ber
einen Windows 2000 Server definiert werden. Administrative Vorlagen mssen stets ber den
sogenannten sicheren Kanal zwischen unterschiedlichen Windows 2000 Servern auszutauschen.
Das vorinstallierte Gast-Konto darf nicht genutzt und daher mglichst auch nicht aktiviert werden.
Die Umbenennung des Gast-Kontos ist mglich, bietet jedoch keinen wirklichen Schutz, da das
Gast-Konto beispielsweise ber die Security-ID (SID) des Kontos identifiziert werden kann.
Das vorinstallierte Gast-Konto darf nicht genutzt und daher mglichst auch nicht aktiviert werden.
Die Umbenennung des Gast-Kontos ist mglich, bietet jedoch keinen wirklichen Schutz, da das
Gast-Konto beispielsweise ber die Security-ID (SID) des Kontos identifiziert werden kann.
Fehlerhafte oder fehlende Eintrge in der Registry knnen dazu fhren, dass ein System nicht
mehr lauffhig ist. Daher muss die Registry besonders geschtzt werden. Zugriffsrechte sollten
bedarfsgerecht angepasst und der Zugriff ber das Netz auf die Registry restriktiv geregelt
werden.
Wenn auf dem Server vertrauliche Daten gespeichert werden, muss eine
Festplattenverschlsselung eingesetzt werden. Unter Windows 2000 Server steht hierzu
beispielsweise das Dateisystem EFS (Encrypting File System - verschlsselndes Dateisystem)
zur Verfgung, das die Verschlsselung einzelner Dateien untersttzt, die dafr gekennzeichnet
werden mssen.
Ist eine abgesicherte Kommunikation zwischen Windows 2000 Rechnern gewnscht oder
notwendig, sollte die Verschlsselung mittels IPSec erfolgen. Dabei ist drauf zu achten,
dass alle Kommunikationspartner identifiziert und authentisiert werden und dass der IPSec
Verbindungsaufbau korrekt durchgefhrt wird.
Die auf einem Server unter Windows 2000 genutzten Dienste, beispielsweise Dynamic Domain
Name Service (DDNS), Routing and Remote Access Service (RRAS) oder Dynamic Host
Configuration Protocol (DHCP), mssen sicher konfiguriert werden. Auch die Zusammenarbeit
einzelner Dienste muss sicher konfiguriert werden.

Die Sicherheitsempfehlungen zum Thema Server unter Windows 2000 mssen zielgruppengerecht
aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Server unter
Windows 2000 finden sich im Baustein B 3.106 Server unter Windows 2000 und in weiteren Bereichen
der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.107

GR 3.107 S/390- und zSeries-Mainframe

Die IBM S/390- und zSeries-Systeme gehren zu den Server-Systemen, die allgemein als Mainframes
("Grorechner") bezeichnet werden. Mainframes haben sich von klassischen Einzelsystemen mit
Stapelverarbeitung hin zu modernen Client-/Server-Systemen entwickelt. Sie bilden heute das obere
Ende der Palette der angebotenen Server-Systeme. In diesem Baustein werden nur Mainframes des
Typs IBM zSeries bzw. IBM S/390 betrachtet. zSeries-Systeme, mit dem Betriebssystem z/OS, stellen
eine logische Weiterentwicklung der OS/390-Architektur dar.
-

Die IT-Leitung und das Sicherheitsmanagement mssen ein Konzept fr den Einsatz von
Mainframes festlegen. Das Konzept sollte insbesondere regeln, fr welche Funktionsbereiche die
Mainframes verwendet werden sollen, beispielsweise als Batch-, Datenbank- oder ApplikationsServer.
Anhand der Anforderungen, die sich aus dem Einsatzkonzept ergeben, muss entschieden werden,
welche Hard- und Software-Komponenten zum Einsatz kommen und ob ein Einzelsystem oder ein
Parallel-Sysplex-Cluster betrieben wird.
Es muss ein Rollenkonzept fr die Systemverwaltung von z/OS-Systemen festgelegt werden, das
eine klare Aufgabenteilung ohne Rollenkonflikte vorsieht. Im Sinne einer Vertretungsregelung
mssen jeder Rolle mindestens zwei Personen zugeordnet werden.
Es mssen Standards fr die z/OS-Systemdefinitionen und Sicherheitsrichtlinien festgelegt
werden, um eine einheitliche, nachvollziehbare und sichere Systemverwaltung zu erreichen. Es
muss regelmig kontrolliert werden, ob die Sicherheitsvorgaben und -richtlinien eingehalten
werden.
Das verwendete Sicherheitssystem (RACF, TopSecret, ACF2 etc.) muss konsequent und restriktiv
auf alle sicherheitsrelevanten System-Ressourcen angewandt werden.
Die Zugriffsmglichkeiten auf sicherheitskritische Systemdefinitionen und z/OS-Dienstprogramme
mssen auf das Notwendigste eingeschrnkt werden.
Bei der sicheren Systemverwaltung mssen nicht nur der Betriebssystem-Kern, sondern auch die
Subsysteme, wie JES, TSO, USS und der Communications Server, bercksichtigt werden.
Alle z/OS-Systeme mssen whrend des Betriebs berwacht werden, damit Betriebsstrungen
frhzeitig erkannt oder sogar vermieden werden knnen, indem rechtzeitig Korrekturmanahmen
bei erkennbaren Problemen vorgenommen werden.
Alle mit der Systemverwaltung betrauten Personen mssen ausfhrlich fr ihre jeweiligen
Aufgaben geschult und fr die damit verbundenen Sicherheitsfragen sensibilisiert werden. Die
erworbenen Kenntnisse mssen regelmig und bedarfsgerecht auf den neuesten Stand gebracht
werden.
Es muss ein Not-User-Verfahren eingerichtet werden, das in Notsituationen - und nur dann fr administrative Zugriffe genutzt werden kann. Die Not-User-Kennung muss zuverlssig vor
Missbrauch geschtzt werden.

Die Sicherheitsempfehlungen zum Thema S/390- und zSeries-Mainframe mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema S/390- und
zSeries-Mainframe finden sich im Baustein B 3.107 S/390- und zSeries-Mainframe und in weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.108

GR 3.108 Windows Server 2003

Das Software-Paket Windows Server 2003 ist das Nachfolgeprodukt zum Betriebssystem Windows
2000 Server. Windows Server 2003 kann einerseits als reine Plattform fr Serveranwendungen von
Dritten, beispielsweise Datenbank-Servern, dienen und andererseits mit den vielen im Lieferumfang
von Windows Server 2003 enthaltenen Anwendungen und Dienste fr bestimmte Bereiche ein
vollstndiges Gesamtsystem bilden. Schwachstellen auf der Betriebssystemebene eines Servers
knnen die Sicherheit aller Anwendungen und angeschlossenen IT-Systemen im Netz beeintrchtigen,
ein Windows Server 2003 sollte daher besonders geschtzt werden.
-

Windows Server 2003 bringt eine Vielzahl an Funktionen und Diensten mit. Je nach Einsatzzweck
von Windows Server 2003 mssen nicht verwendete Funktionen und Dienste deaktiviert, besser
deinstalliert werden.
Da Windows Server 2003 als Server-Betriebssystem eingesetzt werden soll, sind alle nicht
bentigten Client-Funktionen des Windows Server 2003 zu deinstallieren. Hierzu gehren unter
anderem der Mediaplayer, Audiorecorder, aber auch Outlook Express oder Netmeeting.
Schon in der Planungsphase eines Windows Server 2003 ist ein Konzept fr die berwachung
dieses Systems zu erarbeiten. Hierbei ist festzulegen, in welchen Intervallen welche
Informationen protokolliert werden sollten, um gewhrleisten zu knnen, dass die festgelegten
Sicherheitsrichtlinien eingehalten werden. Die berwachung ist hierbei Teil der Administration des
Systems, die ebenso gut geplant werden muss, damit Administrationsfehler vermieden werden.
Alle verwendeten Dienste mssen gem deren Einsatzzweck sicher konfiguriert werden.
Am Beispiel des Internet Information Server (IIS) bedeutet dies, dass nicht bentigte Ports
geschlossen werden mssen, das Ausfhren von Skripten deaktiviert wird (insofern nicht
erforderlich) und SSL-Zertifikate zur sicheren Kommunkation mit dem IIS einzusetzen sind.
Bei einem Windows Server 2003 sind die genutzten Kommunikationsprotokolle sicher zu
konfigurieren. Hierzu gehrt zum einen die generelle Kommunikation ber das Internet Protocol
(IP), aber auch Dienste-spezifische Kommunikation ber SMB, LDAP oder RPC. Die IPKommunikation kann hierbei beispielsweise mittels IPSec abgesichert werden. In jedem Fall
ist sicherzustellen, dass auch die Gegenstellen (andere Systeme oder andere Dienste) ber
die gleichen Sicherheitsmerkmale verfgen, damit auch eine sichere Kommunikation mit dem
Windows Server 2003 durchgefhrt werden kann.
Fehlerhafte oder fehlende Eintrge in der Registry knnen dazu fhren, dass ein System nicht
mehr lauffhig ist. Daher muss die Registry besonders geschtzt werden. Zugriffsrechte mssen
bedarfsgerecht angepasst und der Zugriff ber das Netz auf die Registry restriktiv geregelt werden
Beim Windows Server 2003 ist die Verwendung von zustzlichen Gerten, wie beispielsweise
CDs, DVDs bzw. USB-Sticks, zu reglementieren. Hierzu ist das Betriebssystem so einzustellen,
dass nur definierte Gerte mit dem Windows 2003 Server verwendet werden drfen. Dazu gehrt
unter anderem auch, dass die Autostart-Funktion von Windows zu deaktivieren ist.
Wenn auf dem Server vertrauliche Daten gespeichert werden, muss eine
Festplattenverschlsselung eingesetzt werden. Unter Windows Server 2003 steht hierzu
beispielsweise das Dateisystem Encrypting File System (EFS) zur Verfgung, das die
Verschlsselung einzelner Dateien untersttzt, die dafr gekennzeichnet werden mssen.

Die Sicherheitsempfehlungen zum Thema Windows Server 2003 mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Windows
Server 2003 finden sich im Baustein B 3.108 Windows Server 2003 und in weiteren Bereichen der ITGrundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.201

GR 3.201 Allgemeiner Client

Als Client wird ein IT-System mit einem beliebigen Betriebssystem bezeichnet, das die Trennung von
Benutzern zulsst. Typischerweise ist ein solches IT-System vernetzt und wird als Client in einem ClientServer-Netz betrieben. Das IT-System kann auf einer beliebigen Plattform aufgebaut werden. Es kann
sich dabei um einen PC mit oder ohne Festplatte, aber auch um eine Unix-Workstation oder einen Apple
Macintosh handeln. Das IT-System kann ber Disketten-, CD-ROM-, DVD- oder andere Laufwerke fr
auswechselbare Datentrger sowie andere Peripheriegerte verfgen. Unabhngig vom eingesetzten
Betriebsystem sollten folgende Sicherheitsaspekte bercksichtig werden:
-

Vor der Installation muss festgelegt werden, welche Komponenten des Betriebssystems und
welche Anwendungsprogramme und Tools installiert werden sollen. Vor allem die Installation des
Betriebssystems sollte mglichst erfolgen, ohne dass das System an das Netz angeschlossen ist
(Offline-Installation).
Fr die Installation sollten nur Medien und Dateien benutzt werden, die aus einer sicheren Quelle
stammen.
Es sollte mindestens eine Administrator- und eine Benutzer-Umgebung eingerichtet werden
knnen. "Normales Arbeiten" in der Administrator-Umgebung muss vermieden werden.
Falls eine grere Anzahl von Clients hnlich installiert und konfiguriert werden sollen, so bietet
es sich an, eine "generische" Installation vorzunehmen, die anschlieend auf die einzelnen Clients
bertragen wird, und die nur noch minimale nderungen vor der Inbetriebnahme erforderlich
macht.
Nach der Installation sollte berprft werden, welche Programme und Netzdienste auf dem
System installiert und aktiviert sind. Nicht bentigte Programme und Netzdienste sollten deaktiviert
oder ganz deinstalliert werden.
Es muss berprft werden, ob die Berechtigungen fr Systemverzeichnisse und -dateien den
Vorgaben der Sicherheitsrichtlinie entsprechen.
Es sollte geprft werden, welche Benutzerkonten wirklich gebraucht werden. Nicht bentigte
Benutzerkonten sollten entweder gelscht oder zumindest deaktiviert werden, damit unter dem
betreffenden Konto keine Anmeldung am System mglich ist.
Server und Clients mit hohem Schutzbedarf sollten zustzlich zum Schutz durch die
organisationsweiten Sicherheitsgateways oder Paketfilter, die das interne Netz segmentieren, mit
einem lokalen Paketfilter abgesichert werden.
Eine Bildschirmsperre sollte eingerichtet werden, die sich sowohl manuell vom Benutzer aktivieren
lsst, als auch nach einem vorgegebenen Inaktivitts-Zeitraum automatisch gestartet wird.
Es sind alle Benutzer zu verpflichten, sich nach Aufgabenerfllung vom IT-System bzw. von der
IT-Anwendung abzumelden.

Die Sicherheitsempfehlungen zum Thema Allgemeiner Client mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Allgemeiner Client finden
sich im Baustein B 3.201 Allgemeiner Client und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.202

GR 3.202 Allgemeines nicht vernetztes ITSystem

Betrachtet wird ein IT-System, das mit keinem anderen IT-System vernetzt ist. Es kann mit einem
beliebigen Betriebssystem ausgestattet sein. Das IT-System kann auf einer beliebigen Plattform
betrieben werden, es kann sich dabei um einen PC mit oder ohne Festplatte, aber auch um eine UnixWorkstation oder einen Apple Macintosh handeln.
-

Fr die sichere Nutzung von IT-Systemen mssen verbindliche Richtlinien festgelegt werden. Dies
umfasst beispielsweise, wer das System wann und wofr nutzen darf und auf welche Daten der
Zugriff in welcher Weise gestattet wird.
Eine sorgfltige Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere
Installation ist notwendig, um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der ITSysteme auszuschlieen.
Arbeiten mit einem IT-System mehrere Benutzer, so muss durch eine ordnungsgeme
Administration der Zugriffsrechte sichergestellt werden, dass die Benutzer das IT-System nur
gem ihren Aufgaben nutzen knnen.
Von Herstellern oder Administratoren voreingestellte Passwrter sind direkt nach der Installation,
sptestens bei erstmaliger Inbetriebnahme von Hard- oder Software zu ndern.
Jeder Benutzer muss eine eigene Kennung und ein eigenes Passwort erhalten. Es darf kein
Zugang ohne Kennung oder Passwort mglich sein.
Es sollte eine Bildschirmsperre eingerichtet werden, die sich automatisch nach 15 Minuten
einschaltet, wenn in dieser Zeit keine Benutzereingaben erfolgt sind.
Auch bei einem nicht vernetzten IT-System muss ein Virenscanner installiert sein und permanent
aktualisiert werden.
Zur Vermeidung von Datenverlusten mssen regelmige Datensicherungen durchgefhrt
werden. In den meisten Rechnersystemen knnen diese weitgehend automatisiert erfolgen. Es
sind Regelungen zu treffen, welche Daten von wem wann gesichert werden.
Fr die Rekonstruktion eines Datenbestandes muss geprft werden, ob mit den vorhandenen
Sicherungskopien der Daten ein solches Vorhaben durchgefhrt werden kann.

Die Sicherheitsempfehlungen zum Thema Allgemeines nicht vernetztes IT-System mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Allgemeines nicht vernetztes IT-System finden sich im Baustein B 3.202 Allgemeines nicht
vernetztes IT-System und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.203

GR 3.203 Laptop

Ein Laptop oder Notebook ist ein PC mit einer transportfreundlichen, kompakten Bauform, der daher
mobil genutzt werden kann. Ein Laptop ist ein vollwertiger Arbeitsplatz-Rechner und kann ber Akkus
zeitweise unabhngig von externer Stromversorgung betrieben werden.
-

Alle Betriebssystem- und Software-Komponenten mssen sorgfltig ausgewhlt sowie sicher


installiert werden, um die Risiken zu minimieren. Es muss regelmig kontrolliert werden, dass
die Konfiguration nicht verndert wurde und keine ungenehmigte Software installiert wurde. Die
nderung der voreingestellten Optionen durch den Benutzer sollte administrativ unterbunden
werden.
Die Software des Laptops und die Datenbestnde mssen auf dem aktuellen Stand gehalten
und notwendige Sicherheitspatches zeitnah eingespielt werden. Nach einem externen Einsatz
muss ein Laptop zunchst grndlich auf Viren und andere Schadsoftware berprft werden,
bevor er wieder ans LAN angeschlossen werden darf. Im mobilen Einsatz, aber auch im Bro
sollten grundstzlich Diebstahl-Sicherungen verwendet werden. Im Umgang mit externen
Speichermedien wie USB-Sticks sollten die Benutzer Vorsicht walten lassen, durch unbedachte
Weitergabe knnen vertrauliche Daten offen gelegt oder Schadprogramme aufgelesen werden.
Alle Daten, die auf mobilen IT-Systemen lokal gespeichert werden, mssen regelmig gesichert
werden. Hierfr mssen geeignete Verfahren zur Datensicherung in Abhngigkeit vom Volumen
des Datenbestands ausgewhlt werden. Die Datensicherung sollte mglichst weitgehend
automatisiert werden, so dass die Benutzer mglichst wenig Aktionen selbst durchfhren mssen.
Bei Laptops besteht ein relativ hohes Verlust- und Diebstahlsrisiko. Damit die Daten nicht in
falsche Hnde fallen, mssen die Dateien oder besser die gesamte Festplatte und alle mobilen
Datentrger verschlsselt sein.
Zugriffe von einem Laptop von auerhalb auf das interne Netz sollten ausschlielich verschlsselt
erfolgen (ber VPN gesichert). E-Mails sollten ausschlielich verschlsselt von Mail-Servern auf
den Laptop bertragen werden (z. B. mittels SSL).
Eine der wichtigsten IT-Sicherheitsmanahmen beim Betrieb heutiger Laptops ist die Installation
und permanente Aktualisierung eines Virenschutzprogramms. Laptops werden hufig ber lngere
Zeit losgelst vom Firmen- oder Behrdennetz oder auch mit temporren Verbindungen zum
Internet betrieben. Somit sind unter Umstnden einerseits ihre Virendefinitionsdateien veraltet und
sie sind andererseits einem hohen Infektionsrisiko ausgesetzt.
Es ist unabdingbar, dass jeder Laptop so eingestellt ist, dass ohne erfolgreiche Authentisierung
sich weder der Laptop starten lsst noch ein Zugriff auf das interne LAN mglich ist.
Sowohl bei der Authentisierung als auch bei Verschlsselung von Datentrger und Kommunikation
mssen starke Passwrter gewhlt werden, die nicht zu erraten sind. Diese sollte aus einer
Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen und mindestens 8 Zeichen
lang sein. Die Passwrter drfen auf keinen Fall zusammen mit dem Laptop aufbewahrt werden.
Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden, ist es
unabdingbar, sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem
Netz zu schtzen. Der Virenschutz reicht alleine nicht aus, um alle zu erwartenden Angriffe
abzuwehren.

Die Sicherheitsempfehlungen zum Thema Laptop mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Laptop finden sich im Baustein
B 3.203 Laptop und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.204

GR 3.204 Client unter Unix

Unix-Clients sind Rechner mit dem Betriebssystem Unix, die entweder im Stand-alone-Betrieb oder als
Client in einem Netz genutzt werden. In der Regel besitzen Clients eine graphische Benutzeroberflche
wie X-Window. Zahlreiche Peripherie-Gerte knnen an diese IT-Systeme angeschlossen werden.
Betrachtet werden Sicherheitsaspekte von Clients der Unix-Familie.
-

Fr den Mountpoint "/var" und fr die Verzeichnisse der Benutzer (in der Regel "/home") sollte
eine eigene Partition, beziehungsweise Slice, verwendet werden. Bei verschiedenen Derivaten
knnen Partitionen zustzlich in Slices unterteilt werden. Bei mehreren Benutzern sollte eine
Quota eingefhrt werden.
Der unkontrollierte Zugang zum Single-User-Modus muss verhindert werden. Beim Booten in den
Single-User-Modus sollte daher das Super-User-Passwort abgefragt werden.
Die Passwrter drfen nicht in der allgemein lesbaren Datei /etc/passwd, sondern in einer fr
die Benutzer nicht lesbaren shadow-Passwortdatei gespeichert sein. Die Datei /etc/passwd ist
regelmig auf Benutzer-Kennungen ohne Passwort zu untersuchen. Wird eine solche gefunden,
ist der Benutzer zu sperren. Benutzer und Gruppen, die nicht bentigt werden, sind zu entfernen.
Das s-Bit sollte bei Dateien nur gesetzt sein, wenn es unbedingt erforderlich ist. Bei Shellskripten
sollte das s-Bit nicht gesetzt sein. Das s-Bit darf nur vom Administrator gesetzt werden, die
Notwendigkeit hierfr ist zu begrnden und zu dokumentieren.
Bis auf wenige Ausnahmen, beispielsweise fr die Administration ber "sshd", sollten von einem
Client keine Dienste angeboten werden. Daher sind alle nicht bentigten Diensten unbedingt zu
deaktivieren. Wurde der Maildaemon in der Standard-Installation aktiviert, ist dieser ebenfalls
abzuschalten. Aus der Konfigurationsdatei /etc/inetd.conf sollten alle nicht bentigten Eintrge
entfernt werden. Es sollte vermieden werden, dass die graphische Benutzerflche ebenfalls einen
Port (beispielsweise 6000) ffnet (z.B. mit der Option "-nolisten" beim Start von X-Window).
Wenn ein entfernter Zugriff bentigt wird, beispielsweise zur Administration, muss "ssh" statt
"Telnet" verwendet werden. Es sollte die ssh-Version 2 (SSH-2) verwendet werden.
In den meisten Unix-Systemen gibt es nur eine Administrationsrolle ("root"). Die direkte
Anmeldung als "root" sollte unterbunden werden. Statt dessen sollten sich die Administratoren nur
als normale Benutzer anmelden drfen und nur fr die Erfllung einzelner Aufgaben "root"-Rechte
erlangen knnen. Normale Benutzer sollten auch auf Clients generell nie mit "root"-Rechten
arbeiten.
Die Protokollmglichkeiten des einzelnen Unix-Systems sind einzusetzen und die ProtokollDateien mssen regelmig ausgewertet werden. Die Konfigurationsdatei /etc/syslog.conf ist fr
die Aktivierung der Protokollfunktionen anzupassen.
Sicherheitskritische Softwarefehler mssen durch Updates beseitigt oder durch andere
Manahmen verhindert werden. Auch zustzlich installierte Applikationen, die zwar nicht direkter
Bestandteil des Unix-Systems sind, aber trotzdem in dem Unix-Derivat bereitgestellt werden,
mssen regelmig aktualisiert werden. Hierfr kann beispielsweise die Paketverwaltung genutzt
werden.

Die Sicherheitsempfehlungen zum Thema Client unter Unix mssen zielgruppengerecht aufbereitet und
institutionsweit verffentlicht werden. Weitere Informationen zum Thema Client unter Unix finden sich
im Baustein B 3.204 Client unter Unix und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.207

GR 3.207 Client unter Windows 2000

Windows 2000 kann auf Clients eingesetzt werden, also auf Rechnern, die entweder im Stand-aloneBetrieb oder als Client in einem Netz genutzt werden. Hierbei greifen die Clients unter Windows 2000
auf Dateien und Dienste zu, die auf Servern des Rechnernetzes gespeichert und zur Verfgung gestellt
werden.
-

Die Benutzer der Clients unter Windows 2000 sind ber den Umgang mit dem System und vor
allem den verwendeten Sicherheitsfunktionen zu schulen.
Der Boot-Vorgang der Clients unter Windows 2000 ist zu schtzen, damit beispielsweise nicht von
einer CD, DVD, einem anderen externen Datentrger oder vom Netz ein fremdes Betriebssystem
gestartet werden kann, das festgelegte Zugriffsrechte aushebelt. Generell sollte der Zugriff auf
CDs, oder auch USB-Sticks seitens des Betriebssystems reglementiert werden.
Damit Programme nicht ungewollt ausgefhrt werden, sollte die Autostart-Funktion von Windows
deaktiviert werden. Hierdurch wird verhindert, dass durch das Einlegen einer CD oder eines USBSticks die darauf befindlichen Programme automatisch gestartet werden.
Fr jeden Benutzer muss die Anmeldung an einem Windows 2000 System durch ein Passwort
geschtzt werden. Verbunden mit der Benutzeranmeldung sind auch ausreichende Zugriffsrechte
auf Anwendungen und Informationen im Netz, die nur die Berechtigungen erteilen, die Benutzer
auch tatschlich bentigen. Bei vernetzten Systemen bietet es sich an, die Berechtigungen zentral
ber Gruppenrichtlinien an einem Active Directory zu vergeben.
Fehlerhafte oder fehlende Eintrge in der Registry knnen dazu fhren, dass ein System nicht
mehr lauffhig ist. Daher muss die Registry besonders geschtzt werden. Zugriffsrechte sollten
bedarfsgerecht angepasst und der Zugriff ber das Netz auf die Registry restriktiv geregelt
werden.
Wenn auf dem Client vertrauliche Daten gespeichert werden, muss eine
Festplattenverschlsselung eingesetzt werden. Unter Windows 2000 steht hierzu beispielsweise
das Dateisystem Encrypted File System (EFS) zur Verfgung, das die Verschlsselung einzelner
Dateien untersttzt, die dafr gekennzeichnet werden mssen.
Um einen sicheren Betrieb des Systems zu gewhrleisten, ist sicherzustellen, dass keine
Manipulationen an dem System selbst oder an dessen Sicherheitseinstellungen vorgenommen
werden knnen. Dafr mssen die festgelegten Sicherheitsrichtlinien regelmig geeignet
berwacht werden.
Fr Clients unter Windows 2000 sind unterschiedliche Manahmen zu treffen, um diese bei
einem Ausfall schnell wieder betriebsbereit machen zu knnen. Hierzu gehrt eine regelmige
Datensicherung des Clients, aber auch die Erstellung von Rettungsdatentrgern, mit denen im
Notfall auf den Client zugegriffen werden kann.
Clients unter Windows 2000 sind wie auch andere IT-Systeme allgemeinen Sicherheitsrisiken
ausgesetzt. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs entschieden zu verringern,
mssen Clients unter Windows 2000 aktuell gehalten und sicherheitsrelevante Patches zeitnah
eingespielt werden.

Die Sicherheitsempfehlungen zum Thema Client unter Windows 2000 mssen zielgruppengerecht
aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Client unter
Windows 2000 finden sich im Baustein B 3.207 Client unter Windows 2000 und in weiteren Bereichen
der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.208

GR 3.208 Internet-PC

Die Nutzung des Internets zur Informationsbeschaffung und Kommunikation ist in weiten Bereichen
der ffentlichen Verwaltung und Privatwirtschaft zur Selbstverstndlichkeit geworden. Grtmglichen
Komfort bietet dabei der Internet-Zugang direkt ber den Arbeitsplatz-PC. Da dieser jedoch meist
in ein lokales Netz (LAN) eingebunden ist, knnen durch die Internetnutzung unter Umstnden
zustzliche Bedrohungen fr die Institution entstehen. Um diese Probleme zu umgehen oder aus
anderen anwendungsspezifischen Grnden werden oft eigenstndige "Internet-PCs" aufgestellt. Es
handelt sich dabei um Computer, die ber eine Internet-Anbindung verfgen, jedoch nicht mit dem
internen Netz der Institution verbunden sind.
-

Es muss ein Konzept festgelegt werden, das die funktionalen, technischen und
sicherheitstechnischen Anforderungen an Internet-PCs enthlt.
Es mssen Richtlinien fr die Nutzung von Internet-PCs herausgegeben werden. Sie mssen
beschreiben, fr welche Zwecke die Internet-PCs genutzt werden drfen und Verhaltensregeln zur
sicheren Nutzung des Internets an die Hand geben.
Anhand des Konzepts sind geeignete Hardware-, Betriebssystem- und Software-Komponenten
fr die Installation auf den Internet-PCs auszuwhlen. Dabei sind funktionale oder
sicherheitstechnische Grnde ausschlaggebend.
In den Client-Programmen fr die Nutzung von Internet-Diensten wie Web-Browser und E-MailProgrammen mssen nicht bentigte Funktionen deaktiviert sein.
Patches und Updates fr das Betriebssystem und fr die installierte Software mssen
systematisch und zeitnah eingespielt werden.
Auf jedem Internet-PC mssen Programme zum Schutz vor schdlichem Code, wie ComputerViren, Trojanischen Pferden und Wrmern, installiert und auf dem aktuellen Stand gehalten
werden.
Die Konfiguration der Internet-PCs ist in Form von Images oder Backups zu sichern. Falls eine
lokale Datenhaltung erlaubt ist, mssen auch die gespeicherten Anwendungsdaten regelmig
gesichert werden.
Benutzer-Passwrter fr die Nutzung von Diensten im Internet drfen nicht im Browser
abgespeichert werden.
E-Commerce- und E-Government-Angebote im Internet drfen ausschlielich verschlsselt ber
TLS/SSL (https) genutzt werden.
Dateien, die als E-Mail-Anhang bermittelt wurden, mssen mit besonderer Vorsicht und Sorgfalt
behandelt werden, insbesondere wenn sie nicht erwartet wurden. Solche Dateien drfen nur
geffnet werden, wenn sie vorher - mglichst automatisch - auf schdlichen Code geprft wurden.

Die Sicherheitsempfehlungen zum Thema Internet-PC mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Internet-PC finden sich im
Baustein B 3.208 Internet-PC und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.209

GR 3.209 Client unter Windows XP

Windows XP besitzt eine graphische Benutzeroberflche und war das erste Client-Betriebsystem der
Firma Microsoft, das sowohl fr den privaten als auch den geschftlichen Einsatz konzipiert wurde.
Windows XP wird in der Regel entweder im Stand-alone-Betrieb oder als Client in einem Netz genutzt.
Betrachtet werden Arbeitsplatz-PCs (APCs) mit dem Betriebssystem Windows XP Professional.
-

Nach der Entscheidung, Windows XP als Client-Betriebssystem einzusetzen, sollte zunchst der
Einsatz geplant werden. Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten, die einerseits die
bereits bestehenden Sicherheitsrichtlinien im Windows XP-Kontext umsetzt und andererseits die
fr Windows XP spezifischen Erweiterungen definiert.
Windows XP ist kein Server-Betriebssystem und sollte daher nur fr Clients verwendet werden.
Windows XP Clients sollten keine Anwendungen oder Dienste im Netz zur Verfgung stellen.
Alle Berechtigungen sind grundstzlich restriktiv zu vergeben, d. h. Strategien wie "Need-to-know"
bzw. "Least-Privilege" mssen umgesetzt werden (Zugriffsberechtigungen sollten nur so weit
und so lange, wie ntig, vergeben werden.). Dies betrifft ausnahmslos alle Bereiche, in denen
Berechtigungen vergeben werden knnen.
Die Autostart-Funktionalitt ist in der Standardinstallation von Windows XP nicht deaktiviert und
stellt ein Sicherheitsrisiko dar, da gefhrliche Inhalte von Dateien ohne Benutzerinteraktion zur
Ausfhrung kommen knnen. Aus diesem Grund ist die Autostart-Funktionalitt fr alle Laufwerke
zu deaktivieren
Die Sicherheit der auf Windows XP Rechnern gespeicherten Daten hngt zu einem groen Teil
auch vom korrekten Umgang der Benutzer mit den Windows XP Sicherheitsmechanismen ab.
Um diese effektiv nutzen zu knnen, sollten Benutzer von Windows XP Rechnern entsprechend
geschult werden.
Mehrere Dienste und Anwendungen von Windows XP nehmen in der Standardkonfiguration
selbstttig und hufig vom Benutzer unbemerkt Kontakt zu Servern im Internet auf. Dabei werden
system- und/oder benutzerspezifische Daten an Microsoft oder andere Anbieter bermittelt. Die
Kommunikation ist so weit wie mglich zu beschrnken.
Anonyme Zugnge ber das Netz sollten grundstzlich nicht mglich sein (sogenannte NULL
SESSIONS). Unter Windows XP ist es standardmig vorgesehen, bestimmte Aktivitten wie
z. B. das Aufzhlen von SAM-Konten anonym durchzufhren. Diese Funktionalitt ist explizit zu
deaktivieren.
Um Verste gegen die geltenden Windows XP Sicherheitsrichtlinien feststellen zu knnen, sind
regelmige berprfungen notwendig. Zur Ermittlung aktuell umgesetzter Einstellungen bzw.
ihrer etwaigen Unterschiede von den in Sicherheitsrichtlinien definierten Parameterwerte knnen
automatisierte Tools wie "secedit" eingesetzt werden.
Windows XP Systeme sind wie auch andere IT-Systeme den allgemeinen Sicherheitsrisiken
ausgesetzt. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs entschieden zu verringern,
mssen Windows XP Systeme aktuell gehalten und sicherheitsrelevante Patches zeitnah
eingespielt werden.

Die Sicherheitsempfehlungen zum Thema Client unter Windows XP mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Client unter
Windows XP finden sich im Baustein B 3.209 Client unter Windows XP und in weiteren Bereichen der
IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.210

GR 3.210 Client unter Windows Vista

Das Client Betriebssystem Microsoft Windows Vista gibt es in unterschiedlichen Versionen, zum Beispiel
Windows Vista Home Basic oder Windows Vista Enterprise, fr Privatanwender sowie fr Institutionen.
Wegen der hohen Verbreitung von Microsoft Client Betriebssystemen sind diese ein attraktives Ziel fr
Angreifer. Aus diesem Grund spielt die Sicherheit eines Client-Betriebssystems wie Windows Vista eine
wichtige Rolle fr die Sicherheit im gesamten Informationsverbund.
-

Fr die Einfhrung von Windows Vista muss eine Sicherheitsrichtlinie und ein bedarfsgerechtes
Berechtigungs- und Zugriffskonzept erarbeitet werden. Diese sollten regelmig geprft und
aktualisiert werden.
Die Systemsicherheit und Systemintegritt von Windows Vista Systemen muss kontinuierlich
kontrolliert werden. Art und Umfang der Protokollierung (berwachung) eines Windows Vista
Systems muss schon in der Planungsphase geregelt werden, damit alle relevanten Parameter
entsprechend den Anforderungen festgelegt und spter umgesetzt werden knnen. Hierzu sollte
ein bedarfsgerechtes Protokollierungskonzept entworfen werden.
Die Gruppenrichtlinien sind der primre Mechanismus zur Umsetzung einer sicheren Systemkonfiguration von Windows Vista Clients. Daher sollten alle sicherheitsrelevanten Einstellungen
ber die Gruppenrichtlinien bedarfsgerecht konfiguriert, getestet und regelmig berprft werden.
Vor der Aktivierung oder Reaktivierung eines Windows Vista Clients muss eine geeignete
Aktivierungsform gewhlt und die technischen Voraussetzungen fr die Aktivierung geschaffen
und berprft werden.
Vor der Beschaffung von Hard- oder Software fr Windows Vista Systeme muss deren
Kompatibilitt zu der eingesetzten Windows Vista Version in der vorliegenden Konfiguration
berprft werden.
Windows Vista stellt fr die Bereiche Datenverschlsselung, Datensicherung, lokal installierte
Firewall sowie Absicherung des Bootvorgangs Anwendungen zur Verfgung, wie zum Beispiel
Bitlocker Drive Encryption. Je nach Schutzbedarf muss sorgfltig abgewogen werden, ob diese
mitgelieferten Anwendungen oder Tools von anderen Anbietern installiert werden. Sie mssen
entsprechend den Sicherheitsanforderungen der Institution konfiguriert werden.
Windows Vista bietet verschiedene Sicherheitsmechanismen zum Schutz kritischer Systemressourcen, zum Schutz von Benutzerdaten und um den Missbrauch administrativer Privilegien
begrenzen zu knnen, wie zum Beispiel die Benutzerkontensteuerung (UAC, User Account
Control), den geschtzten Modus, den Windows Integrity Mechanism (WIM) etc. Diese
Sicherheitsmechanismen mssen aktiviert und an die jeweiligen Bedrfnisse der Institution
angepasst und konfiguriert werden.
Um die Wahrscheinlichkeit eines erfolgreichen Angriffs entschieden zu verringern, mssen
Windows Vista Systeme aktuell gehalten und sicherheitsrelevante Patches zeitnah eingespielt
werden.
Um die Sicherheitsmechanismen von Windows Vista effektiv nutzen zu knnen, mssen die
Administratoren und auch die Benutzer entsprechend geschult werden.

Die Sicherheitsempfehlungen zum Thema Client unter Windows Vista mssen zielgruppengerecht
aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Client unter
Windows Vista finden sich im Baustein B 3.210 Client unter Windows Vista und in weiteren Bereichen
der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.301

GR 3.301 Sicherheitsgateway (Firewall)

Mit Sicherheitsgateways knnen unterschiedliche Netze gekoppelt werden. Am hufigsten werden sie
am bergang zwischen Internet und internem Netz eingesetzt, aber sie knnen auch unterschiedlich
vertrauenswrdige Netzbereiche des internen Netzes miteinander verbinden.
Ein Sicherheitsgateway besteht in der Regel aus mehreren Hard- und Softwarekomponenten,
die den Kommunikationsfluss zwischen den angeschlossenen Netzen nach den Vorgaben einer
Sicherheitsrichtline durchsetzen. Aus diesen Vorgaben werden konkrete Regeln erstellt, mit denen der
Netzwerkverkehr gesteuert und so unerlaubter Datentransfer unterbunden wird.
-

Interne Netze mssen beim Anschluss an externe Netze (z. B. das Internet) durch ein
Sicherheitsgateway geschtzt werden.
Es muss sichergestellt sein, dass es keinen unbefugten, von auen initiierten Verbindungsaufbau
in das geschtzte Netz geben kann.
Der Aufbau des Sicherheitsgateways muss den Anforderungen an eine sichere Verbindung der
gekoppelten Netze gengen, die in einer Sicherheitsrichtlinie niedergelegt sind.
Sicherheitsgateways sollten aus mehreren Komponenten mit einer PAP-Struktur (Paketfilter
Application Level Gateway Paketfilter) bestehen.
Fr das Sicherheitsgateway mssen eindeutige Regeln definiert sein, welche
Kommunikationsverbindungen und Datenstrme zugelassen werden. Alle anderen Verbindungen
mssen durch das Sicherheitsgateway unterbunden werden (Whitelist-Ansatz).
Dient das Sicherheitsgateway zur Ankopplung eines internen Netzes an das Internet, sollten
alle Dienste, die aus dem Internet erreichbar sein sollen (z. B. E-Mail, Webauftritt) an das
Sicherheitsgateway angeschlossen sein. Die entsprechenden Server sollten in einer DMZ
(Demilitarisierten Zone) des Sicherheitsgateways platziert werden.
Die Kommunikationsbeziehungen mit den am Sicherheitsgateway angeschlossenen DiensteServern (z. B. E-Mail-Server) mssen in den Regeln des Sicherheitsgateways bercksichtigt sein.
Alle Verbindungen zwischen den gekoppelten Netzen sollten im Sicherheitsgateway terminiert und
von dort zum gewnschten Verbindungspartner neu aufgebaut werden (Proxy-Funktionalitt).
Zur berwachung des Betriebs und zur Analyse von Angriffen bzw. Fehlern sollten Protokolle
von allen dem Sicherheitsgateway zugehrigen Komponenten (also insbesondere Paketfilter und
Application Level Gateway) erstellt werden. Hierbei sind die rechtlichen Rahmenbestimmungen
unbedingt einzuhalten.
Das Sicherheitsgateway sollte fr Unbefugte unzugnglich aufgestellt sein, beispielsweise in
einem Serverraum oder in einem Serverschrank.

Die Sicherheitsempfehlungen zum Thema Sicherheitsgateway (Firewall) mssen zielgruppengerecht


aufbereitet (und institutionsweit) verffentlicht werden. Weitere Informationen zum Thema
Sicherheitsgateway (Firewall) finden sich im Baustein B 3.301 Sicherheitsgateway (Firewall) und in
weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.302

GR 3.302 Router und Switches

Fr eine Kommunikation in Netzen werden neben einer Verkabelung auch Netzkoppelelemente, wie
Router und Switches, bentigt. Ein Ausfall einer oder mehrerer dieser Komponenten der Netztechnik
kann zum kompletten Stillstand der gesamten IT-Infrastruktur fhren. Daher mssen Router und
Switches vor unerlaubten Zugriffen und Manipulationen geschtzt werden.
-

Vor der Beschaffung der Netzkomponenten (Router und Switches) muss eine Sicherheitsstrategie
fr den sicheren Betrieb der Gerte festgelegt und dokumentiert werden.
Fr den sicheren Betrieb von Routern und Switches ist es wichtig, dass alle Arbeiten durch
Personal durchgefhrt werden, das in der Lage ist, alle vorhandenen Funktionen und
Sicherheitsmerkmale optimal zu nutzen. Daher mssen die Administratoren entsprechend
geschult werden.
Um Unbefugten den Zugriff auf Router und Switches zu erschweren, sollten diese Gerte so
aufgestellt werden, dass nur Berechtigte Zugriff haben.
Das eingesetzte Betriebssystem auf Routern und Switches sollte stabil und immer auf dem
aktuellen Stand gehalten werden, indem Patches und Updates systematisch und zeitnah
eingespielt werden (nach Test und vorheriger Datensicherung).
Nicht bentigte Dienste auf Routern und Switches knnten zur Durchfhrung von Angriffen oder
zur Informationsgewinnung missbraucht werden. Entsprechend dem Minimalprinzip sollten daher
unntige Dienste auf Routern und Switches abgeschaltet werden.
Router und Switches knnen lokal ber eine Konsole oder entfernt ber eine Netzverbindung
administriert werden. Abhngig von der Zugriffsart mssen geeignete Sicherheitsvorkehrungen
getroffen werden. Bei der Remote-Administration von Routern und Switches muss in jedem Fall
eine Absicherung der Kommunikation erfolgen. Dies kann beispielsweise durch die Nutzung des
Dienstes SSH anstatt Telnet oder durch die Schaffung eigener LAN-Segmente, die ausschlielich
fr Administrationszwecke genutzt werden, erreicht werden.
Voreingestellte Passwrter auf Routern und Switches mssen nach der Installation gendert
werden. Darber hinaus sollten die Gerte so konfiguriert werden, dass die Passwrter nicht im
Klartext, sondern verschlsselt in der Konfigurationsdatei gespeichert werden.
Die Zugriffsrechte fr die Nutzung und die Administration von Routern und Switches sollten
mglichst restriktiv vergeben werden und mit Hilfe von Access Control Lists (ACLs) kontrolliert
werden.
Die Protokollierung sollte immer genutzt und sorgfltig eingerichtet werden. Darber hinaus
mssen die protokollierten Daten zur Beurteilung der korrekten Funktion des Gerts und zur
Erkennung von Angriffen oder Angriffsversuchen zeitnah ausgewertet werden.
Ein regelmiges Backup der Router-Konfigurationen sollte durchgefhrt und Sicherungskopien
der laufenden Konfiguration mssen so angelegt werden, dass auch bei einem Ausfall des
Management-Systems ein Zugriff jederzeit mglich ist.

Die Sicherheitsempfehlungen zum Thema Router und Switches mssen zielgruppengerecht aufbereitet
und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Router und Switches
finden sich im Baustein B 3.302 Router und Switches und in weiteren Bereichen der IT-GrundschutzKataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.303

GR 3.303 Speichersysteme und


Speichernetze

ber ein Speichernetz knnen gleichzeitig mehrere Server oder gegebenenfalls auch direkt Endgerte
diesen Speicher nutzen. Speichersysteme, die aus mehreren vernetzten Einheiten bestehen, nutzen
blicherweise ein dediziertes Speichernetz und werden daher auch als "Speichernetze" bezeichnet. Ein
Speichersystem gilt als die zentrale Instanz, die fr andere Systeme Speicherplatz zur Verfgung stellt.
-

Die sicherheitsrelevanten Regelungen fr den Einsatz von Speichersystemen und Speichernetzen


mssen in einer Sicherheitsrichtlinie dokumentiert sein.
Speichersysteme und Speichernetze erfordern spezielle Kenntnisse der Administratoren. Diese
mssen daher immer ausreichend zu diesem Thema und deren Sicherheitsaspekten geschult
sein.
Die grundstzliche Entscheidung, welche Art von Speichersystem angemessen fr die
Institution ist, muss durch eine Anforderungsanalyse festgestellt werden. Magebliche
Kenngren sind die Anforderungen an die Verfgbarkeit, Performance und Kapazitt. Wenn
die Kapazitt eines Speichersystems oder Speichernetzes ausgereizt ist, muss in der Regel
erneut geplant und investiert werden. Es ist daher wichtig, die Speichersysteme in Bezug auf
die Kapazittsanforderungen regelmig zu berprfen, um die Gre rechtzeitig anpassen zu
knnen.
Bevor ein Speichersystem in den Produktivbetrieb integriert wird, muss es sicher konfiguriert
werden. Viele Gerte werden vom Hersteller mit einer Default-Konfiguration ausgeliefert, in der
so gut wie keine Sicherheitsmechanismen aktiv sind. Daher muss die berprfung der DefaultEinstellungen und die Grundkonfiguration offline, in einem eigens dafr eingerichteten und
besonders gesicherten Testnetz oder ber das Administrationsnetz, erfolgen.
Die Dokumentation der Konfiguration muss aktuell und vollstndig sein, um bei Notfllen schnell
reagieren zu knnen und Fehler bei nderungen im System zu vermeiden.
nderungen und Aktualisierungen an Speichersystemen und Speichernetzen mssen gut geplant
und vor dem Einsatz im Produktivbetrieb ausfhrlich getestet werden.
Bei Speichersystemen und Speichernetzen mit hohen Verfgbarkeitsanforderungen sollten Single
Points of Failure, d. h. Komponenten, die bei einem Ausfall den Komplettausfall des Systems mit
sich ziehen knnen, durch ausreichender Redundanzen vermieden werden.
Soll ein Speichersystem auer Betrieb genommen werden, muss ein Vorgehen zur Migration der
Daten zu entworfen werden. Es muss sichergestellt sein, dass alle Daten auf dem Speichersystem
so auf andere Speichersysteme berfhrt werden, dass alle Anforderungen, die sich aus der
Ttigkeit der Institution ergeben, aber auch gesetzliche Anforderungen zu Aufbewahrungsfristen
und dergleichen, erfllt werden.

Die Sicherheitsempfehlungen zum Thema Speichersysteme und Speichernetze mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Speichersysteme und Speichernetze finden sich im Baustein Baustein B 3.303 Speichersysteme
und Speichernetze und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.304

GR 3.304 Virtualisierung

Bei der Virtualisierung von IT-Systemen werden ein oder mehrere virtuelle IT-Systeme auf einem
physischen Computer betrieben. Ein solcher physischer Computer wird als Virtualisierungsserver
bezeichnet. Je nach Produkt knnen mehrere Virtualisierungsserver zu einer virtuellen Infrastruktur
zusammengefasst werden. In einer solchen virtuellen Infrastruktur knnen die Virtualisierungsserver
selbst und die auf ihnen betriebenen virtuellen IT-Systeme gemeinsam verwaltet werden. Betrachtet
werden Sicherheitsaspekte der Virtualisierung.
-

Aufgrund der hohen Komplexitt ist eine detaillierte Planung beim Aufbau einer virtuellen
Infrastruktur unerlsslich. Daher sollte schon bei einer konzeptionellen Betrachtung und im Vorfeld
einer Projektierung eine genaue Analyse der notwendigen Rahmenbedingungen durchgefhrt
werden.
Es ist zu prfen, ob alle Anwendungen, die auf virtuellen IT-Systemen betrieben werden sollen,
durch ihre Hersteller auf der gewhlten Virtualisierungsplattform untersttzt werden.
Bei der Entscheidung, welche virtuellen IT-Systeme gemeinsam auf einem Virtualisierungsserver
ausgefhrt werden drfen, muss der Schutzbedarf der einzelnen virtuellen IT-Systeme
bercksichtigt werden.
Die einzusetzende Virtualisierungssoftware muss eine ausreichende Isolation und Kapselung der
virtuellen IT-Systeme gewhrleisten. Dies bedeutet insbesondere, dass die einzelnen virtuellen ITSysteme nur ber festgelegte Wege miteinander kommunizieren und nur ber definierte Kanle
auf die Hard-/Software des Virtualisierungsservers zugreifen knnen.
Auf den eigentlichen Virtualisierungsservern, das heit auerhalb der virtuellen IT-Systeme,
sollten mglichst nur solche Dienste betrieben werden, die zur Virtualisierungstechnik gehren.
Bei der Auswahl der Hardware fr Virtualisierungsserver ist darauf zu achten, dass
Systeme beschafft werden, die fr die gewhlte Virtualisierungslsung geeignet sind. Jeder
Virtualisierungsserver muss so leistungsfhig sein, dass fr alle virtuellen IT-Systeme, die auf
diesem Virtualisierungsserver ablaufen sollen, gengend Performance bereitsteht.
Der Umgang mit Snapshots muss geregelt werden.
Die Verwaltungsschnittstellen der Virtualisierungsserver sollten in einem eigenen Netz
angeschlossen werden. Dieses ist physisch oder logisch von dem Netz zu trennen, in dem die
virtuellen IT-Systeme betrieben werden.
Beim Einsatz von Virtualisierung kann es Probleme mit der Systemzeit geben. Es muss
sichergestellt werden, dass die Systemzeit in den virtuellen IT-Systemen stets korrekt ist.
Viele Hersteller stellen fr die virtuellen IT-Systeme so genannte Gastwerkzeuge zur Verfgung,
mit denen die virtuellen IT-Systeme auf einfache Weise durch die Virtualisierungssoftware
gesteuert werden knnen. Es sind verbindliche Regelungen zur Konfiguration und zum Einsatz
dieser Gastwerkzeuge in virtuellen IT-Systemen zu erstellen.

Die Sicherheitsempfehlungen zum Thema Virtualisierung mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Virtualisierung finden sich im
Baustein B 3.304 Virtualisierung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.305

GR 3.305 Terminalserver

Terminalserver stellen ein besonders zentralisiertes Szenario einer Client-Server Architektur dar.
Anwendungen werden auf den leistungsstarken Terminalservern installiert, von den Clients werden
diese gestartet, gesteuert und dargestellt. Diese Ein- und Ausgaben knnen auf verhltnismig einfach
ausgestatteten Arbeitsplatz-Rechnern (Fat-Clients) mit der entsprechenden Client-Software verarbeitet
werden. Zudem existieren Lsungen, die mit dedizierten Terminals (Thin-Clients) funktionieren.
Betrachtet werden Sicherheitsaspekte zu Terminalservern.
-

Beim Einsatz von Terminalservern sind von der Institution geeignete Sicherheitsrichtlinien
aufzustellen. Die hierin schriftlich festgehaltenen Magaben sowie Zielsetzungen mssen
die individuellen Bedingungen und Anforderungen einer sicheren Terminalserver-Umgebung
widerspiegeln.
Bei der Migration einer klassischen Client-Server-Architektur auf eine Terminalserver-gesttzte
Umgebung muss vor der Umsetzung eingehend berprft werden, ob die zu migrierenden
Anwendungen berhaupt dafr geeignet sind.
Die Verwaltung der Terminalserver-Infrastruktur ist fr Administratoren komplex, die Benutzung ist
ohne Vorerfahrung in einigen Punkten erklrungsbedrftig. Alle Personen, die mit Terminalservern
arbeiten, sollten daher ausreichend in den sie betreffenden Aspekten geschult werden.
Innerhalb von Mehrbenutzerumgebungen, wie sie Terminalserver-Systeme darstellen, ist die
Abschottung der Anwender voneinander sowie gegenber riskanten Systemfunktionen von
erheblicher Bedeutung. Um einen strungsfreien Betrieb zu gewhrleisten und die verarbeiteten
Daten zu schtzen, mssen die Zugangs- und Zugriffsrechte restriktiv vergeben werden.
Um die Verfgbarkeit von Terminalservern gewhrleisten zu knnen, mssen die
Systemressourcen, wie Prozessorleistung, Datendurchsatz zu Speichersystemen und deren
Gre, ausreichend dimensioniert werden.
Es muss verhindert werden, dass die Anwender sicherheitsrelevante nderungen an der
Benutzerumgebung auf den Terminalservern vornehmen knnen. Es ist sicherzustellen, dass die
Anwender nur auf die Ressourcen zugreifen knnen, die sie fr ihre Arbeit tatschlich bentigen.
Die Verbindungen zwischen den Terminalservern und deren Clients sollten verschlsselt werden,
wenn diese Kommunikation ber ein unsicheres Netz luft.
Zwei oder mehr Anwendungen mit unterschiedlichem Schutzbedarf sollten nicht ohne
angemessene Sicherheitsmanahmen auf dem selben Terminalserver betrieben werden.
Der Ausfall einer Terminalserver-Umgebung betrifft meist eine grere Anzahl Anwender.
Abhngig von den Verfgbarkeitsanforderungen sollten daher Redundanzmanahmen fr die
Terminalserver ergriffen werden, damit bei einem Ausfall der Schaden verringert wird.
Bei allen Komponenten der Terminalserver-Infrastruktur muss regelmig berprft werden, ob
alle festgelegten Sicherheitsmanahmen umgesetzt und wirksam sind.

Die Sicherheitsempfehlungen zum Thema Terminalserver mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Terminalserver finden sich im
Baustein B 3.305 Terminalserver und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.401

GR 3.401 TK-Anlage

Mit einer TK-Anlage knnen die Telefone einer Institution intern verbunden und extern an ein
ffentliches Telefonnetz angeschlossen werden. Neben der Sprachtelefonie knnen, abhngig von
den angeschlossenen Endgerten, weitere Dienste genutzt werden. So ist es mglich, Daten, Texte,
Grafiken und Bewegtbilder ber TK-Anlagen zu bertragen. Die Informationen knnen dabei analog
oder digital ber drahtgebundene oder drahtlose bertragungsmedien bermittelt werden. Betrachtet
werden Sicherheitsaspekte von TK-Anlagen.
-

Es muss entschieden werden, fr welche unterschiedlichen Kommunikationsdienste die TKAnlage genutzt werden soll. Entsprechend der Einsatzszenarien sind die Anforderungen an
die zu beschaffenden Produkte zu formulieren und basierend darauf sind geeignete Produkte
auszuwhlen.
Es muss festgelegt werden, wer welche Kommunikationsdienste nutzen darf, welche Regelungen
dabei zu beachten und wie interne IT-Systeme zu schtzen sind.
Die Benutzer sind zum richtigen Umgang mit den jeweiligen Diensten zu schulen. Auf die mit einer
TK-Anlage verbundenen Gefhrdungen und auf Sicherheitsrisiken durch bestimmte Dienste, wie
Konferenzschaltungen und Rufumleitungen, sind die Benutzer hinzuweisen.
Voreingestellte (Standard-)Passwrter sind direkt nach der Installation, sptestens bei erstmaliger
Inbetriebnahme der Komponenten der TK-Anlage zu ndern. Fr alle zentralen Komponenten ist
eine angemessene Zugangskontrolle zu realisieren.
Die Schnittstellen einer TK-Anlage, ber die Administrationsttigkeiten ausgefhrt werden knnen,
mssen vor unautorisiertem Zugriff geschtzt werden.
Alle nicht bentigten Leistungsmerkmale der Komponenten der TK-Anlage mssen deaktiviert
werden.
Bei der Speicherung von personenbezogenen Daten muss auf eine geeignete Absicherung
geachtet werden. Dies beinhaltet die Kontrolle (und Einschrnkung) des Zugangs zu diesen
Daten sowie die Verschlsselung dieser Daten beim Transport ber das Datennetz und auf den
jeweiligen Datentrgern.
In der Notfallplanung sollte der TK-Anlage als zentrale Kommunikationskomponente erhhte
Prioritt eingerumt werden (Wiederanlaufreihenfolge bzw. Manahmenpriorisierung in Notfllen).
Sollen Komponenten der TK-Anlage auer Betrieb genommen oder ersetzt werden, so mssen
die sicherheitsrelevanten Informationen, die auf diesen Komponenten gespeichert sind, sicher
gelscht werden.

Die Sicherheitsempfehlungen zum Thema TK-Anlagen mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema TK-Anlagen finden sich im
Baustein B 3.401 TK-Anlagen und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.402

GR 3.402 Faxgert

Betrachtet wird die Informationsbermittlung per Fax ber Stand-Alone-Faxgerte. Hierbei werden von
einer Vorlage die darauf aufgezeichneten Inhalte vom Sendegert Punkt fr Punkt abgetastet und
bertragen und von einem Empfangsgert ebenso wieder aufgebaut.
-

Bei Neuanschaffungen ist darauf zu achten, dass die Gerte in Hinblick auf Qualitt, Technik,
Sicherheit und implementierter Leistungsmerkmale dem aktuellen Stand der Technik entsprechen.
Sinnvolle Sicherheitsfunktionen sind beispielsweise Zugriffscodes, Verschlsselung oder
Protokollierung.
Ein Faxgert sollte in einem Bereich aufgestellt werden, der nicht unbeaufsichtigt zugnglich ist.
Eine Kontrolle des Zutritts zu diesem Bereich oder der Nutzung des Faxgertes ist sinnvoll.
Mitarbeiter sind auf die Besonderheiten der Informationsbermittlung per Fax hinzuweisen sowie
darber zu informieren, dass die Rechtsverbindlichkeit einer Faxsendung stark eingeschrnkt ist.
Es sollte ferner eine verstndliche Bedienungsanleitung am Faxgert zur Verfgung stehen.
Es sollte ein Verantwortlicher fr das Faxgert benannt sein, der sich um die Wartung sowie die
Ver- und Entsorgung von Verbrauchsgtern kmmert.
Vertrauliche oder besonders wichtige Faxsendungen sollten vorher angekndigt werden, damit sie
sicher den richtigen Empfnger erreichen. Eine telefonische Rckversicherung klrt den korrekten
Empfang der Sendung.
Listenmige Protokolle von bertragungsvorgngen, die automatisch vom Faxgert
gefhrt werden (Kommunikationsjournal), sind regelmig auszudrucken und zu sichten, um
Fehlfunktionen und Mibrauch zu erkennen.

Die Sicherheitsempfehlungen zum Thema Faxgert mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Faxgert finden sich im
Baustein B 3.402 Faxgert und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.404

GR 3.404 Mobiltelefon

Mobiltelefone sind inzwischen alltglicher Bestandteil der Kommunikationsinfrastruktur geworden.


Neben herkmmlichen Telefongesprchen bieten die Gerte meist noch eine Vielzahl an zustzlichen
Funktionen wie das Verschicken von SMS, MMS, E-Mail, die Nutzung von WLAN oder eine Terminund Adressverwaltung. Aktuelle Mobiltelefone nutzen nicht nur die Mobilkommunikationsnetze, sondern
verfgen auch ber weitere Kommunikationsschnittstellen wie Bluetooth oder Infrarot.
-

Fr die sichere Nutzung von Mobiltelefonen in einer Institution muss zunchst geregelt
werden, unter welchen Rahmenbedingungen diese eingesetzt werden drfen und welche
Sicherheitsanforderungen dabei zu beachten sind. Dabei ist auch festzulegen, welche Regelungen
fr private oder von Besuchern mitgebrachte Mobiltelefone gelten, also beispielsweise, ob diese in
Rumen der Institution genutzt werden drfen.
Mitarbeiter mssen ber die Regelungen zur Nutzung von Mobiltelefonen aufgeklrt werden und
fr potentielle Gefhrdungen sensibilisiert werden.
Zum Schutz vor Missbrauch und Diebstahl sollten Mobiltelefone nicht an unsicheren Orten
unbeaufsichtigt zurckgelassen werden. Verlorene oder gestohlene Gerte mssen sofort
gesperrt werden.
Es muss sichergestellt werden, dass die Sicherheitsmechanismen von Mobiltelefonen genutzt
werden. Dazu gehrt die Eingabe einer PIN oder eines Passworts sowohl beim Einschalten
des Gerts als auch nach lngerer Abwesenheit oder beim Wechsel der SIM-Karte. PINs und
Passwrter drfen nicht zu einfach gewhlt werden.
Bei der Verwendung von Mobiltelefonen muss festgelegt werden, ob und wie zustzliche Dienste
wie MMS, Bluetooth oder WLAN genutzt werden drfen. Nicht bentigte Dienste sollten deaktiviert
werden.
Das Mobiltelefon sollte so konfiguriert werden, dass vor der Verbindung ins Internet und vor
dem Herunterladen von MMS eine explizite Besttigung des Nutzers eingefordert wird. So
wird sichergestellt, dass der Verbindungsaufbau gewollt initiiert wurde. Generell sollte die
Vertrauenswrdigkeit des Absenders, Anrufers oder Internetquelle bzw. die Plausibilitt des
Inhalts geprft werden, um der Verbreitung von Schadsoftware vorzubeugen.
Kommunikationsschnittstellen wie USB, Bluetooth oder Infrarot sollten nur bei Bedarf aktiviert und
die bertragenen Daten (z. B. Datensicherung oder Synchronisation von Datenbestnden) nach
Mglichkeit verschlsselt werden.
Es muss geregelt werden, wie Daten und Programme sicher gespeichert werden. Vertrauliche
Daten, wie personenbezogene Daten oder Zugangsdaten zum Netz der Institution, sollten gar
nicht oder nur verschlsselt auf den Gerten oder zustzlichen Speicherkarten abgelegt werden.
Sensible Informationen sollten nicht ber das Mobiltelefon weitergegeben werden.
Bei der Weitergabe oder Entsorgung der Gerte mssen smtliche sensiblen Daten aus allen
Speicherbereichen des Mobiltelefons entfernt werden.

Die Sicherheitsempfehlungen zum Thema Mobiltelefon mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Mobiltelefon finden sich im
Baustein B 3.404 Mobiltelefon und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.405

GR 3.405 PDA

Ein Personal Digital Assistant (PDA) bietet die Mglichkeit persnliche Informationen wie beispielsweise
Kontakte, Termine und Nachrichten unterwegs nutzbar zu machen. Je nach PDA knnen auch
verschiedene Dateiformate angezeigt und bearbeitet werden.
-

Fr den Einsatz von PDAs in einer Institution sind im Vorfeld eine Vielzahl von Regelungen zu
treffen. Hierbei ist zu entscheiden, welche Daten auf den PDAs gespeichert und verarbeitet
werden drfen, wie mit privaten Daten auf den PDAs umzugehen ist, welchen Kriterien die PDAs
an Betriebssystemen, Schnittstellen, zentrale Administration, Sicherheit usw. entsprechen mssen
und welche eingebauten und zustzlichen Sicherheitsmechanismen des PDAs verwendet werden
sollen.
Es ist zu regeln, unter welchen Rahmenbedingungen PDAs extern genutzt werden drfen und wie
sie unterwegs zu schtzen sind. Weiterhin ist zu definieren, welche Schritte beim Verlust eines
PDAs durchzufhren sind.
PDA-Benutzer sind nicht nur ber die Vorteile des PDAs, sondern auch ber potentielle Risiken,
Probleme bei der Nutzung und die Grenzen der Sicherheitsmanahmen aufzuklren. Darber
hinaus muss jeder PDA-Benutzer die Regelungen fr den sicheren Einsatz von PDAs in der
Institution kennen.
Wenn sich vertrauliche Daten auf den PDAs befinden, mssen diese durch geeignete
Manahmen zur Authentisierung und Verschlsselung vor unbefugtem Zugriff geschtzt werden.
Bei Online-Nutzung von PDAs muss eine sichere Kommunikation mit dem Netz der Institution
gewhrleistet werden. Hierbei sind Verfahren zu definieren, wie Verbindungen ber die
unterschiedlichen Schnittstellen von PDAs beispielsweise ber VPN-Techniken aufgebaut werden.
Whrend des mobilen Einsatzes von PDAs ist eine ausreichende Energieversorgung
sicherzustellen. Es ist vor allem darauf zu achten, dass die gespeicherten Daten auch nach dem
vollstndigen Entladen der Hauptbatterie weiterhin vorhanden sind. Zur Ausfallvorsorge ist eine
regelmige Datensicherung durchzufhren. Sollte es zu einem Datenverlust kommen, so ist zu
definieren, ber welche Mechanismen die letzte Datensicherung wieder eingespielt werden kann.
Hier ist auch zu definieren, ob und wie diese Wiederherstellung beim mobilen Einsatz vollzogen
werden kann.

Die Sicherheitsempfehlungen zum Thema PDA mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema PDA finden sich im Baustein
B 3.405 PDA und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 3.406

GR 3.406 Drucker, Kopierer und


Multifunktionsgerte

Zur Grundausstattung in Broumgebungen gehren typischerweise Kopierer, sowie bei ITArbeitspltzen Drucker. Arbeitsergebnisse mssen oft auf Papier ausgegeben, bearbeitet und archiviert
werden. Hufig wird jedoch nicht jeder einzelne Arbeitsplatz mit einem Drucker ausgestattet. Zum
Einsatz kommen dann zentrale Netzdrucker, Kopierer oder Multifunktionsgerte, auf denen die Benutzer
ihre Dokumente ausdrucken oder vervielfltigen knnen. Als Multifunktionsgerte werden dabei Gerte
bezeichnet, die mehrere verschiedene papierverarbeitende Funktionen bieten, etwa Drucken, Kopieren
und Scannen oder auch Fax-Dienste.
-

Bevor Drucker, Kopierer und hnliche Gerte beschafft werden, mssen neben den allgemeinen
Anforderungen auch die Sicherheitsanforderungen festgelegt werden. Die Anforderungen und die
auf dieser Basis getroffenen Entscheidungen sind zu dokumentieren.
Es muss entschieden werden, ob lokale Drucker, die nur einzelnen IT-Systemen zur Verfgung
stehen oder netzfhige Drucker, die von mehreren Benutzern genutzt werden knnen, eingesetzt
werden sollen. Benutzer, die hufiger sensible Informationen ausdrucken mssen, sollten einen
lokalen Drucker erhalten. Fr die Ausdrucke der restlichen Benutzer oder fr Ausdrucke von
Informationen mit einem geringeren Schutzbedarf knnen zentrale Drucker zur Verfgung gestellt
werden.
Es mssen Richtlinien fr die Administratoren und Benutzer von Druckern, Kopierern und
Multifunktionsgerten erstellt werden, da technische Manahmen alleine nicht den sicheren
Einsatz bzw. die sichere Nutzung gewhrleisten.
Um Unbefugen den Zugriff auf Drucker, Kopierer und Multifunktionsgerte zu erschweren,
sollten diese Gerte so aufgestellt werden, dass nur Berechtigte Zutritt haben. Zumindest sollten
Drucker nicht in Bereichen aufgestellt werden, in denen sich hufig Externe aufhalten, also nicht
in der Nhe von Besprechungs-, Veranstaltungs- oder Schulungsrumen. Generell sollten nur
berechtigte Personen Zugriff auf die ausgedruckten oder kopierten Dokumente erhalten.
Um Drucker, Faxgerte, Scanner oder Multifunktionsgert mehreren Benutzern zur Verfgung
zu stellen, werden sie ans LAN angeschlossen. Damit auf diesem Wege keine Angreifer auf das
Gert zugreifen knnen, mssen die Netz-Verbindungen geschtzt und der Zugriff durch eine
Authentisierung reguliert werden.
Da Drucker, Kopierer und Multifunktionsgerte im Allgemeinen mehr Funktionen bieten, als im
normalen Betrieb bentigt werden, knnen sich unntige Risiken ergeben. Daher sollten alle nicht
bentigten Funktionen deaktiviert bzw. deren Nutzung so weit wie mglich eingeschrnkt werden.
Drucker, Kopierer und Multifunktionsgerte sind auf Verbrauchsgter wie Papier oder Toner
angewiesen, um funktionieren zu knnen. Die Versorgung mit diesen Verbrauchsgtern muss
sichergestellt sein. Allerdings sollte nicht jeder Mitarbeiter alle Ressourcen nachfllen oder
beschaffen drfen. Verantwortlichkeiten mssen geregelt und kommuniziert werden.
Bei einem Druckserver handelt es sich oft um ein IT-System mit einem handelsblichen
Betriebssystem. Dieser Server muss genau wie ein Mail-, Datei- oder Web-Server durch
entsprechende Sicherheitsmanahmen geschtzt werden.
Sollen Drucker, Kopierer, Multifunktionsgerte oder einzelne Komponenten solcher Gerte auer
Betrieb genommen oder ersetzt werden, mssen alle sicherheitsrelevanten Informationen von den
Gerten gelscht werden.

Die Sicherheitsempfehlungen zum Thema Drucker, Kopierer und Multifunktionsgerte mssen


zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema Drucker, Kopierer und Multifunktionsgerte finden sich im Baustein B 3.406 Drucker, Kopierer
und Multifunktionsgerte und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.1

GR 4.1

Heterogene Netze

Ein lokales Netz setzt sich aus der Verkabelung sowie den aktiven Netzkomponenten zur Netzkopplung
zusammen. Generell knnen dabei unterschiedliche Verkabelungstypen wie auch unterschiedliche
aktive Netzkomponenten in ein LAN integriert werden. Als aktive Netzkomponenten werden alle
Netzkomponenten bezeichnet, die eine eigene (Netz-)Stromversorgung bentigen. Dazu gehren unter
anderem Router, Switches, Gateways. Als passive Netzkomponenten werden alle Netzkomponenten
betrachtet, die keine eigene Netzstrom-Versorgung bentigen wie z. B. Kabel, Verteilerschrnke,
Patchfelder, Steckverbinder.
-

Bevor ein IT-Netz aufgebaut oder weiterentwickelt wird, sollten die Anforderungen, die das Netz
erfllen sollte, klar und eindeutig definiert werden. Darber hinaus sollte eine Strukturanalyse
und eine Schutzbedarfsfeststellung sowie eine Schwachstellenanalyse fr das Netz durchgefhrt
werden. Es sollte eine Sicherheitsrichtlinie fr den sicheren Betrieb des Netzes festgelegt und
dokumentiert werden.
Es sollte eine Topologie gewhlt werden, die Erweiterungen bzw. Wachstum untersttzt. Ad-HocErweiterungen sollten vermieden werden.
Flache Topologien sollten nach Mglichkeit vermieden werden, insbesondere bei mittelgroen
bis sehr groen Netzen. Stattdessen sollte die Topologie in Schichten unterteilt werden, wobei
jeder Schicht, hnlich wie beim OSI-Modell, konkrete Aufgaben zugewiesen werden. Bewhrt hat
sich in diesem Zusammenhang eine hierarchische Topologie, bestehend aus Zugangsschicht,
Verteilungsschicht und Kernschicht.
Bei der Bildung von Teilnetzen sollte darauf geachtet werden, dass alle IT-Systeme und
Kommunikationsverbindungen in einem Teilnetz in Bezug auf den Grundwert Vertraulichkeit
den gleichen Schutzbedarf haben. Darber hinaus sollten Teilnetze mit unterschiedlichem
Schutzbedarf durch granulare Zugriffsberechtigungen (z. B. ACL), Paketfilter oder
Sicherheitsgateways getrennt werden.
Bei der Implementierung von VLANs sollte darauf geachtet werden, dass Teilnetze mit
unterschiedlichem Schutzbedarf bezglich der Vertraulichkeit oder der Integritt der bertragenen
Daten nicht ohne weiteres als VLANs auf demselben Switch realisiert werden.
Durch ein Update von Software knnen Schwachstellen beseitigt oder Funktionen erweitert
werden. Dies betrifft beispielsweise die Betriebssoftware von aktiven Netzkomponenten wie
z. B. Switches oder Router, aber auch eine Netzmanagement-Software. Bevor jedoch ein
Upgrade oder ein Update vorgenommen wird, muss die Funktionalitt, die Interoperabilitt und die
Zuverlssigkeit der neuen Komponenten genau geprft werden. Dies geschieht am sinnvollsten
in einem physikalisch separaten Testnetz, bevor das Update oder Upgrade in den produktiven
Einsatz bernommen wird.
Damit in einem Fehlerfall der Betrieb so schnell wie mglich wieder aufgenommen werden
kann, ist in Abhngigkeit von den entsprechenden Verfgbarkeitsanforderungen die notwendige
Redundanz vorzusehen, um einem Teil- oder Totalausfall der relevanten Netzkomponenten mit
akzeptablem Aufwand vorzubeugen.

Die Sicherheitsempfehlungen zum Thema Heterogene Netze mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Heterogene Netze finden
sich im Baustein B 4.1 Heterogene Netze und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.2

GR 4.2

Netz- und Systemmanagement

Ein Managementsystem fr Netze und die darin verbunden IT-Systeme dient dazu, mglichst
alle im lokalen Netz angesiedelten Hard- und Software-Komponenten zentral zu verwalten. Das
Netzmanagement umfasst die Gesamtheit der Vorkehrungen und Aktivitten zur Sicherstellung des
effektiven Einsatzes eines Netzes, whrend sich das Systemmanagement in erster Linie mit dem
Management verteilter IT-Systeme befasst. Ohne funktionierendes Netz kommt es zu erheblichen
Strungen im Betriebsablauf einer Institution und nicht sachgerecht gewartete IT-Komponenten stellen
ein hohes Sicherheitsrisiko dar. Deshalb ist ein funktionierendes Netz- und Systemmanagement fr
einen reibungslosen IT-Betrieb notwendig.
-

Fr ein effizientes und sicheres Netz- und Systemmanagement muss eine Strategie bzw. ein
Konzept erstellt werden, aus dem klar hervorgeht, welche Komponenten vom Managementsystem
verwaltet werden sollen.
Geltende Sicherheitsrichtlinien mssen durch das Netz- und Systemmanagement eingehalten
und untersttzt werden. Es muss ein Berechtigungsmanagement fr die Netz- und SystemAdministration geben.
Die fr das Netz- und Systemmanagement zustndigen Administratoren mssen ausreichend gut
geschult sein.
Ein zentrales Werkzeug zur Verwaltung der Komponenten sollte genutzt werden. Bei dessen
Auswahl muss bercksichtigt werden, dass alle zu verwaltenden Komponenten vom Werkzeug
erfasst werden knnen, dass, wenn ntig, verschiedene Management-Domnen angelegt werden
knnen und dass mglichst ein Rollen- und Rechtekonzept untersttzt wird.
Die Kommunikation zwischen Netzmanagement-Tool und Netzkomponenten muss ausreichend
abgesichert sein. Dies kann entweder durch ein separates Managementnetz oder durch
Verwendung von Protokollen, die Authentisierung und Vertraulichkeit gewhrleisten, realisiert
werden.
Es muss einen nderungsprozess geben, nach dem nderungen der Konfiguration der
Komponenten umgesetzt werden. Die neue Konfiguration ist zu dokumentieren und vor dem
Einsatz zu testen.
Neu dem Netz hinzugefgte Netzkomponenten und IT-Systeme sollten automatisch erkannt
werden und unberechtigt mit dem Netz verbundenen IT-Systemen muss eine Nutzung des Netzes
technisch untersagt werden.
Die Protokollierung der Netznutzung muss Datenschutzgesetzen gengen, sollte einen
ausreichenden Umfang haben und durch entsprechende Analysewerkzeuge untersttzt werden.
Warnungen beim Erreichen von im Netzplan definierten Schwellwerten, Fehler (z. B. Ausfall einer
Komponente), Vorflle (z. B.. unerlaubter Portscan) und andere sicherheitsrelevante Ereignisse
sollten vom Managementsystem sofort bekannt gemacht werden.
Es muss einen Notfallplan fr den Ausfall eines Managementsystems geben, in dem
Wiederanlaufszenarien beschrieben sind. Hierbei ist auf das sichere Wiederanlaufen der
Komponenten zu achten. Alle zum Netz- und Systemmanagement gehrenden Dokumente
mssen in das Datensicherungskonzept einbezogen werden.

Die Sicherheitsempfehlungen zum Thema Netz- und Systemmanagement mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Netz- und
Systemmanagement finden sich im Baustein B 4.2 Netz- und Systemmanagement und in den weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.3

GR 4.3

Modem

ber ein Modem wird eine Datenendeinrichtung, z. B. ein PC, ber das ffentliche Telefonnetz mit
anderen Datenendeinrichtungen verbunden, um Informationen austauschen zu knnen. Ein Modem
wandelt die digitalen Signale in analoge elektrische Signale um, die ber das Telefonnetz bertragen
werden knnen. Damit zwei IT-Systeme ber Modem kommunizieren knnen, muss auf den ITSystemen die entsprechende Kommunikationssoftware installiert sein.
-

Es muss festgelegt werden, wer fr den sicheren Betrieb des jeweiligen Modems verantwortlich ist
und wer das Modem benutzen darf.
Die Mitarbeiter sind ber mgliche Gefhrdungen, einzuhaltende Sicherheitsmanahmen und
Regelungen beim Betrieb eines Modems zu unterrichten.
Fast jede Kommunikationssoftware bietet die Mglichkeit, Telefonnummern und andere Daten von
Kommunikationspartnern zu speichern. Dies sind personenbezogene Daten, die entsprechend
geschtzt werden mssen. Passwrter fr den Zugang auf andere Rechner oder Modems drfen
nicht in der Kommunikationssoftware gespeichert werden.
Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern
bekanntgegeben werden, um den Zugang vor Einwhlversuchen zu schtzen. Sie darf nicht im
Telefonverzeichnis der Institution erscheinen.
Bevor Informationen an einen Kommunikationspartner bertragen werden, muss sichergestellt
werden, dass der Empfnger die notwendigen Berechtigungen zum Weiterverarbeiten dieser
Informationen besitzt.
Vertrauliche Informationen mssen bei der bertragung verschlsselt werden.
Um den Missbrauch von Modems zu verhindern, muss sichergestellt werden, dass nur Berechtigte
physikalischen Zugriff darauf haben. Alle Login-Vorgnge, ob erfolgreich oder erfolglos, mssen
protokolliert werden.
Die Fernwartung von IT-Systemen ber ein Modem birgt besondere Sicherheitsrisiken. Daher
sollte auf externe Fernwartung verzichtet werden. Ist dies nicht mglich, so sind zustzliche
Sicherheitsmanahmen unumgnglich.
Es muss sichergestellt sein, dass das Modem die Telefonverbindung unterbricht, sobald der
Benutzer sich vom System abmeldet. Es muss auerdem darauf geachtet werden, dass nach
einem Zusammenbruch der Modem-Verbindung der externe Kommunikationspartner automatisch
vom IT-System ausgeloggt wird.

Die Sicherheitsempfehlungen zum Thema Modem mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Modem finden sich im Baustein
B 4.3 Modem und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.4

GR 4.4

VPN

Ein Virtuelles Privates Netz (VPN) ist ein Netz, das physisch innerhalb eines anderen Netzes, wie
beispielsweise dem Internet, betrieben wird, jedoch logisch von diesem Netz getrennt ist. VPNs knnen
unter Zuhilfenahme kryptographischer Verfahren die Integritt und Vertraulichkeit von Daten schtzen.
Die sichere Authentisierung der Kommunikationspartner ist auch dann mglich, wenn mehrere Netze
oder Rechner ber gemietete Leitungen oder ffentliche Netze miteinander verbunden sind.
-

Es gibt viele unterschiedliche Nutzungsszenarien fr VPNs, wie die Durchfhrung von


Fernwartungsttigkeiten, die Anbindung einzelner Mitarbeiter oder ganzer Standorte. Daher muss
geklrt werden, welche Einsatzzwecke untersttzt werden sollen und welche VPN-Typen dafr
eingesetzt werden (z. B. Site-to-Site-, End-to-End- und End-to-Site-VPNs).
Ist die Entscheidung gefallen, fr bestimmte Verbindungen ein VPN einzusetzen, so muss dessen
Aufbau geplant und konzipiert werden.
Besondere Aufmerksamkeit ist der Definition einer eigenen VPN-Sicherheitsrichtlinie zu widmen,
welche auf die allgemeine Sicherheitsleitlinie abgestimmt werden muss.
Es ist festzulegen, welche Informationen ber VPNs bertragen werden drfen, wo die VPNKomponenten benutzt werden drfen und auf welche anderen internen oder externen Netze oder
IT-Systeme ber ein VPN zugegriffen werden darf.
Es muss festgelegt werden, wie und von wem die Benutzerkonten und die Zugriffsberechtigungen
verwaltet und administriert werden (Berechtigungskonzept).
Alle Dienste und Protokolle, die ber den VPN-Zugang zugelassen werden, sowie die darber
zugreifbaren Ressourcen, sind festzulegen.
Die Anforderungen an die VPN-Sicherheitsmechanismen (z. B. Authentisierung und
Integrittssicherung) mssen definiert werden. Es mssen geeignete Verschlsselungsverfahren
zum Schutz der Daten festgelegt werden.
Nicht mehr verwendete VPN-Zugnge oder Zugnge von Partnern, mit denen die Kooperation
bereits beendet wurde, stellen unntige Sicherheitslcken dar und sind schnellstmglich zu
sperren.
Die Dienstequalitt eines VPNs sollte laufend gemessen werden und die Protokolldaten mssen
regelmig ausgewertet werden.
Es muss ein Notfallplan fr den VPN-Betrieb erstellt werden.

Die Sicherheitsempfehlungen zum Thema VPN mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema VPN finden sich im Baustein
B 4.4 VPN und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.5

GR 4.5

LAN-Anbindung eines IT-Systems


ber ISDN

ISDN (Integrated Services Digital Network) ist ein digitales Telekommunikationsnetz, ber das
verschiedene Dienste, wie Telefon und Telefax, genutzt sowie Daten und Bilder bertragen werden
knnen. Im Rahmen des IT-Grundschutzes wird die Anbindung eines abgesetzten IT-Systems an ein
lokales Netz ber ein ffentliches ISDN-Netz betrachtet.
-

Die Datenbertragung sollte in allen Organisationen klar geregelt sein. Alle


Datenbertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen
unterliegen.
Es mssen Regelungen getroffen werden, dass keine weiteren externen Verbindungen unter
Umgehung der Firewall geschaffen werden drfen. Alle Benutzer mssen darauf hingewiesen
werden, welche Gefahren mit der Schaffung "wilder" Zugnge, z. B. ber mitgebrachte Modems,
verbunden sind.
Bei der Beschaffung von ISDN-Karten besteht die Mglichkeit, diese von vornherein so
auszuwhlen, dass im spteren Betrieb Sicherheitsfunktionalitten nicht teuer hinzugekauft
werden mssen. Erforderliche Sicherheitsfunktionalitten sollten bereits auf der Karte vorhanden
sein oder durch mitgelieferte Kommunikationssoftware und Treiberprogramme realisiert werden
knnen.
Die ISDN-Karten sind auf Funktionalitten hin zu untersuchen, die fr einen sicheren Betrieb nicht
vorhanden sein drfen, oder falls sie dennoch vorhanden sind, zumindest durch Konfiguration eine
Deaktivierung herbeigefhrt werden kann.
Es sollten sowohl im Bereich der IT-Systeme, die mit ISDN-Karten ausgestattet werden sollen, als
auch im Bereich der Netzkoppelelemente (z. B. ISDN-Router) ISDN-Karten mit mglichst gleichen
Sicherheitsfunktionalitten eingesetzt werden.
Sollen Informationen an einen Kommunikationspartner bertragen werden, so muss sichergestellt
werden, dass der Empfnger die notwendigen Berechtigungen zum Weiterverarbeiten dieser
Informationen besitzt.
Wenn von den ISDN-Karten untersttzt, sollte zur Authentisierung anstelle des Password
Authentication Protocols (PAP) das Challenge-Handshake Authentication Protocol (CHAP) genutzt
werden, da bei PAP das zur Authentisierung verwendete Passwort unverschlsselt bertragen
wird.

Die Sicherheitsempfehlungen zum Thema LAN-Anbindung eines IT-Systems ber ISDN mssen
zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum
Thema LAN-Anbindung eines IT-Systems ber ISDN finden sich im Baustein B 4.5 LAN-Anbindung
eines IT-Systems ber ISDN und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.6

GR 4.6

WLAN

Wireless LANs (WLANs) bieten die Mglichkeit, mit geringem Aufwand drahtlose lokale Netze
aufzubauen oder bestehende drahtgebundene Netze zu erweitern. WLANs knnen aufgrund der
einfachen Installation nicht nur dauerhaft, sondern auch fr temporr zu installierende Netze, wie z. B.
fr Veranstaltungen, verwendet werden.
-

In einer WLAN-Sicherheitsrichtlinie sind alle getroffenen Entscheidungen ber


Sicherheitseinstellungen, ausgewhlten WLAN-Standards, sowie die Regelungen fr die Nutzung
und Administration des WLANs zu dokumentieren.
Ein WLAN muss generell gesichert betrieben werden. Es ist genau zu prfen, welche Daten
darber bermittelt werden sollen. Je nach Sensibilitt der Daten sollte dann ein hherer
Absicherungsmechanismus, beispielsweise IEEE 802.11i mit einer EAP-Methode, verwendet
werden.
Die Kommunikation im WLAN muss verschlsselt werden. Das Verschlsselungsverfahren WEP
gilt als unsicher und sollte nicht mehr fr eine Absicherung fr das WLAN verwendet werden. WPA
bzw. WPA2 sind die bessere Wahl.
Die kryptographischen Schlssel fr den Zugriff auf ein WLAN sind zufllig zu whlen und
regelmig zu wechseln. Bei WEP tglich, ansonsten sptestens alle 90 Tage.
Bevor WLAN-Komponenten in Betrieb genommen werden, mssen alle Standardeinstellungen
wie SSID, Passwrter fr administrative Zugnge, IP-Adresse der Komponente usw. verndert
werden.
Die Verbindung zwischen einem WLAN und einem LAN sollte zustzlich abgesichert werden,
um die benutzten WLAN-Komponenten vor Missbrauch bei der Nutzung fremder Netze und die
internen LANs gegen Missbrauch von auen zu schtzen.
Benutzer und Administratoren des WLANs mssen ausreichend geschult werden, um
Sicherheitsvorflle zu minimieren und auf mgliche Gefahren bei einer unsachgemen
Verwendung des WLANs hingewiesen und sensibilisiert zu werden.
Bei der Aussonderung von WLAN-Komponenten mssen die Authentikationsinformationen fr den
Zugang zum WLAN und anderer erreichbarer Ressourcen, die in der Sicherheitsinfrastruktur und
anderen Systemen gespeichert sind, entfernt bzw. als ungltig deklariert werden.

Die Sicherheitsempfehlungen zum Thema WLAN mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema WLAN finden sich im Baustein
B 4.6 WLAN und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.7

GR 4.7

VoIP

Als Voice over Internet Protokoll, kurz VoIP, wird das Telefonieren ber Datennetze bezeichnet. Im
Gegensatz zu klassischen Telefonlsungen wird kein separates Netz fr den Anschluss von Telefonen
bentigt, sondern Soft- und Hardphones werden wie Arbeitsplatz-PCs ans LAN angeschlossen.
-

Es muss entschieden werden, ob, wo und wie VoIP eingesetzt werden soll. VoIP kann
beispielsweise zum Anschluss von Endgerten an die TK-Anlage, zur Kopplung von TK-Anlagen
untereinander oder zur Internettelefonie eingesetzt werden.
Vor dem Einsatz von VoIP muss die Institution die Sicherheitsregeln fr VoIP festlegen.
Es kann performanter, aber dafr aufwndiger sein, das Telefonnetz vom Datennetz zu trennen.
Daher sollte entschieden werden, ob eine Trennung erforderlich ist.
Bei VoIP gibt es zahlreiche, untereinander nicht kompatible Signalisierungsprotokolle, die den
Verbindungaufbau und -abbau steuern. Daher muss die Auswahl eines Signalisierungsprotokolls
sorgfltig geplant werden, da die verschiedenen Hersteller von VoIP-Gerten oft nur ein Protokoll
untersttzen.
Aufbauend auf den Einsatzszenarien sind die Sicherheitsanforderungen an die zu beschaffenden
Produkte zu formulieren und basierend darauf die Auswahl der geeigneten Produkte zu treffen.
Bestehen hhere Anforderungen an die Verfgbarkeit der Sprachkommunikation, sollten
alternative Kommunikationsmglichkeiten, wie Mobiltelefone, bereitgestellt werden oder wichtige
VoIP-Komponenten redundant ausgelegt werden.
Viele VoIP-Endgerte bieten die Mglichkeit zum automatischen Update ihrer Firmware. Es muss
sichergestellt werden, dass neue Firmware nur nach erfolgreicher berprfung der Authentizitt
und Integritt des Codes auf die Endgerte aufgespielt wird.
Wird VoIP eingesetzt, sind trotzdem in der Regel in einer Institution auch ffentlich zugngliche
Telefone, z. B. in einer Tiefgarage oder in Besprechungsrumen, installiert. Unberechtigte knnen
eventuell ber die Netzdosen diesen Telefonen auf das LAN zugreifen. Durch eine entsprechende
Netzstrukturierung oder anderen Verfahren sollte diese Gefahr verringert werden.
Sollen VoIP-Komponenten, beispielsweise Endgerte oder Middleware, auer Betrieb genommen
oder ersetzt werden, so mssen von den Gerten alle sicherheitsrelevanten Informationen sicher
gelscht werden.

Die Sicherheitsempfehlungen zum Thema VoIP mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema VoIP finden sich im Baustein
B 4.7 VoIP und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 4.8

GR 4.8

Bluetooth

Mit Bluetooth knnen mobile Endgerte ber eine Funkschnittstelle schnell und einfach miteinander
verbunden werden. Verschiedene in den Gerten definierte Bluetooth-Profile ermglichen dann die
bertragung von Daten, Sprachsignalen, Steuerungsinformationen bis hin zur Bereitstellung von
Diensten, wie beispielsweise FTP oder Modem- und Netzzugangsdiensten.
-

Viele IT-Gerte werden direkt mit Bluetooth-Schnittstellen ausgeliefert. Jede Institution muss sich
also Gedanken dazu machen, wie mit Bluetooth generell umgegangen werden soll.
Fr die sichere Nutzung von Bluetooth-Endgerten in einer Institution muss zunchst geregelt
werden, unter welchen Rahmenbedingungen diese eingesetzt werden drfen und welche
Sicherheitsanforderungen dabei zu beachten sind. Dabei ist auch festzulegen, welche Regelungen
fr private oder von Besuchern mitgebrachte Bluetooth-Endgerte gelten, also beispielsweise, ob
diese in Rumen der Institution genutzt werden drfen.
Beim Bluetooth-Einsatz muss vorab eine Bedarfsanalyse gemacht werden, fr welchen Zweck die
Bluetooth-Endgerte eingesetzt und welche Bluetooth-Profile hierfr notwendig sind.
Mitarbeiter mssen ber die Regelungen zur Nutzung von Bluetooth-Endgerten aufgeklrt
werden und fr potentielle Gefhrdungen sensibilisiert werden.
Es muss sichergestellt werden, dass die Sicherheitsmechanismen von Bluetooth-Endgerten
genutzt werden. Dazu gehrt, dass die Passwrter fr das Pairing nicht zu einfach gewhlt
werden. Besser ist es Bluetooth-Endgerte ab Version 2.1 und das hierbei verfgbare Secure
Simple Pairing zu verwenden.
Standard-Passwrter und -Einstellungen sind zu ndern und je nach Schutzbedarf sogar das
Auffinden des Bluetooth-Endgertes ist zu deaktivieren.
Der Einsatz von Bluetooth-Endgerten, bei denen Standard-Passwrter nicht gendert werden
knnen (z. B. Headsets), ist je nach Schutzbedarf abzuwgen.
Bei der Aussonderung von Bluetooth-Gerten mssen die Authentikationsinformationen und
Pairing-Informationen entfernt bzw. als ungltig deklariert werden.

Die Sicherheitsempfehlungen zum Thema Bluetooth mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Bluetooth finden sich im
Baustein B 4.8 Bluetooth und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.2

GR 5.2

Datentrgeraustausch

Datentrger werden ausgetauscht, um Informationen zwischen verschiedenen Kommunikationspartnern


und IT-Systemen zu bermitteln. Datentrger knnen bei persnlichen Treffen oder auch per Versand
ausgetauscht werden. Sowohl analoge (z. B. Papierdokumente) als auch elektronische (z. B. CD-ROMs
oder USB-Sticks) mssen dabei angemessen geschtzt werden.
-

Es sollten klare Regeln fr den Austausch von Informationen und Datentrgern mit externen
Kommunikationspartnern aufgestellt werden.
Alle Mitarbeiter sollten wissen, welche Informationen mit wem und unter welchen
Rahmenbedingungen ausgetauscht werden drfen.
Damit nur die richtigen Informationen herausgegeben werden, sollten alle Informationen,
Dokumente und Dateien in Bezug auf ihren Schutzbedarf klassifiziert und gekennzeichnet sein.
Nicht alle Datentrger sind bei allen Empfngern lesbar. Daher sollten geeignete Datentrger
ausgewhlt und mit den Kommunikationspartnern abgestimmt werden.
Es sollten geeignete Versandverpackungen und geeignete Versandwege ausgewhlt werden.
Damit keine sensiblen Informationen in falsche Hnde fallen, sollten die Dateien oder besser die
gesamten Datentrger verschlsselt sein.
Vor dem Versand eines Datentrgers sollte geprft werden, ob die gewnschten Informationen
(aber nur diese) darauf enthalten, vollstndig und lesbar sind. Bei elektronischen Datentrgern
muss unbedingt sichergestellt werden, dass diese Restinformationen enthalten. Elektronische
Datentrger mssen vor einer erneuten Verwendung unbedingt physikalisch gelscht werden.
Auch bei analogen Datentrgern muss darauf geachtet werden, dass sie vollstndig sind, jedoch
keine zustzlichen Informationen enthalten, die nicht weitergegeben werden soll.
Beim Austausch von elektronischen Datentrgern muss immer eine Viren-berprfung
durchgefhrt werden.
Um zu vermeiden, dass durch kleine Fehler vertrauliche Informationen in falsche Hnde gelangen,
sollte beim Datentrgerversand sorgfltig gearbeitet werden. Beispielsweise sollten Adressen aus
Adressbchern regelmig geprft werden.

Die Sicherheitsempfehlungen zum Thema Datentrgeraustausch mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema
Datentrgeraustausch finden sich im Baustein B 5.2 Datentrgeraustausch und in den weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.3

GR 5.3

Groupware

Im Fokus von Groupware liegt die Untersttzung von Gruppen bei der Zusammenarbeit, bei der
Terminabstimmung, -Koordination sowie bei der tglichen Kommunikation. Groupware ist unter
anderem dazu gedacht, in mittleren bis groen Institutionen den internen und externen Austausch
von Nachrichten, wie z. B. E-Mails, zu ermglichen. Unter dem Begriff Groupware-System wird der
Groupware-Anwendungsserver, die zugehrigen Groupware-Clients und die erforderlichen GroupwareDienste zusammengefasst.
-

Fr den Einsatz eines Groupware-Systems mssen spezifische Sicherheitsvorgaben erstellt


werden, die die vorhandenen Sicherheitsrichtlinien bercksichtigen. Die Benutzer und die
Administratoren mssen die sie betreffenden Vorgaben kennen.
Es drfen nur die fr den Betrieb der Groupware unbedingt notwendigen Komponenten installiert
und in Betrieb genommen werden.
Bei der Anpassung der Groupware-Installation an interne Geschftsprozesse muss ein
Customizing-Konzept erstellt werden.
Administratoren sind im Umgang mit der Berechtigungsverwaltung innerhalb des GroupwareSystems zu schulen.
Fr das Groupware-System muss ein Backup- und ein Notfallvorsorge-Konzept erstellt werden.
Die bertragung schtzenswerter Daten von und zu Groupware-Systemen muss verschlsselt
werden.
Die Schulung und Sensibilisierung der Nutzer von Groupware-Clients gegenber
Sicherheitsrisiken muss durchgefhrt werden.
Es muss ein Konzept fr eine berwachung und die Protokollierung entworfen werden. Dazu ist
festzulegen, wie die Audit- und Protokollierungsfunktion des Groupware-Systems genutzt werden.
Der teilweise oder komplette Ausfall eines Groupware-Systems hat in vielen Fllen gravierende
Auswirkungen auf die Arbeitsmglichkeiten der Benutzer, da alle Server-basierten Aktionen
nicht mehr ausgefhrt werden knnen. Im Rahmen der Notfallvorsorge ist daher ein Konzept zu
entwerfen, wie die Folgen eines Ausfalls minimiert werden knnen und welche Aktivitten bei
einem Ausfall durchzufhren sind.

Die Sicherheitsempfehlungen zum Thema Groupware mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Groupware finden sich im
Baustein B 5.3 Groupware und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.4

GR 5.4

Webserver

Webserver stellen Informationen, wie Texte, Bilder, Videos und hnliches, Clients zur Verfgung. Zur
Kommunikation wird HTTP, beziehungsweise in verschlsselter Form HTTPS, verwendet. Webserver
knnen Informationen sowohl im Internet als auch im Intranet bereitstellen.
-

Fr den Betrieb eines oder mehrerer Webserver ist ein Sicherheitskonzept zu erstellen, in dem
Sicherheitsaspekte bei Planung, Installation, Konfiguration, Betrieb, Migration und Deinstallation
der Webserver beschrieben sind. Wenn fr den Betrieb des Web-Angebots weitere IT-Systeme,
wie Datenbankserver, ntig sind, sind auch fr diese angemessene Sicherheitsmanahmen
auszuarbeiten und in das Sicherheitskonzept zu integrieren. Das Sicherheitskonzept fr das
Webangebot sollte regelmig auf Aktualitt berprft werden.
Die zustndigen Administratoren mssen fr den sicheren Betrieb des Webservers und der
zugehrigen IT-Systeme und Anwendungen geschult werden. Diese Schulungsmanahme sollte
nach Mglichkeit bereits vor der Beschaffung des Webservers erfolgen, damit die Administratoren
frhzeitig effizient in die Konzeption und den Aufbau einbezogen werden knnen.
Es sollte eine Redaktion fr das Webangebot eingerichtet werden, vor allem ist festzulegen,
wer welche Informationen einstellen darf. Es muss festgelegt werden, wie die Inhalte vor einer
Verffentlichung freigegeben werden.
Da in der Regel Webserver aus dem Internet erreichbar sind, mssen bekannte
Softwareschwachstellen so schnell wie mglich beseitigt werden, indem beispielsweise die
betroffene Applikation aktualisiert wird.
Webangebote mssen in kurzen Abstnden auf bekannte Sicherheitsprobleme, wie beispielsweise
Cross-Site-Scripting, Injection- und Denial-of-Service-Angriffe berprft werden. Werden
Schwachstellen entdeckt, mssen diese so schnell wie mglich beseitigt werden.
Die Webinhalte mssen regelmig auf Schadsoftware untersucht werden. Vorhandene
Schadsoftware muss sofort entfernt werden.
Bei der Gestaltung des Webangebots sollten Aktive Inhalte, wie Java, Java Script und ActiveX,
vermieden werden.
Die Integritt und Vertraulichkeit der bertragenen Informationen sollten zwischen Webserver
und Client geschtzt werden, beispielsweise durch Einsatz von Verschlsselungsprotokollen wie
Transport Layer Security (TLS) oder Secure Sockets Layer (SSL).
Wenn sich das Web-Angebot nicht an anonyme Leser, sondern an einen eingeschrnkten
Benutzerkreis richten soll, mssen Verfahren fr die Authentisierung und das
Sessionmanagement etabliert werden.
Die Webinhalte mssen regelmig auf Vernderungen berwacht werden. Es muss einen
Notfallplan geben, der z. B. beschreibt, was beim Verdacht auf einen Angriff auf den Webserver zu
unternehmen ist.

Die Sicherheitsempfehlungen zum Thema Webserver mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Webserver finden sich im
Baustein B 5.4 Webserver und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.5

GR 5.5

Lotus Notes

Lotus Notes/Domino wird aus historischer und funktionaler Sicht als Anwendung gesehen - technisch
und sicherheitstechnisch ist es eine komplexe Plattform, die einen konzeptionell breiten Ansatz
zur Absicherung erfordert. Die oft herausragende Rolle der Notes/Domino-Plattform als zentrale
Drehscheibe fr Kommunikation und Zusammenarbeit fordert eine entsprechende Sicherheit der
Plattform, die aufgrund der vielfltigen, sowohl auf proprietren Technologien als auch auf InternetStandards basierenden Dienste und Schnittstellen, oftmals aufwendig geplant und umgesetzt werden
muss.
-

Der Einsatz von Lotus Notes/Domino muss sorgfltig geplant werden, dabei mssen spezifische
Sicherheitsvorgaben erstellt werden, die die vorhandene Sicherheitsleitlinie bercksichtigen.
Um beispielsweise an Netzbergngen Aufflligkeiten und Angriffe auf Lotus Domino-Diensten
feststellen und auf diese angemessen und zeitnah reagieren zu knnen, darf die Lotus Notes/
Domino-Plattform nicht als sicherheitstechnische Insel betrieben werden, sondern muss in die
vorhandene Sicherheitsinfrastruktur integriert werden.
Bei der Beschaffung von Komponenten fr die Lotus Notes/Domino-Plattform (Infrastruktur und
Software) mssen die Anforderungen des aktuell eingesetzten Releases bercksichtigt werden.
Um einen sicheren Betrieb zu gewhrleisten, muss eine sichere und angemessen dokumentierte
Installation und Konfiguration der Domino-Server, Notes- und Web-Clients und der verwendeten
Kommunikationsprotokolle und Dienste durchgefhrt werden.
Aktuelle Anforderungen an die Archivierung elektronischer Kommunikation mssen konzeptionell,
technisch und in den Betriebsprozessen von Lotus Notes/Domino abgebildet werden.
Es muss ein Konzept fr die berwachung und die Protokollierung der Lotus Notes/DominoPlattformen entworfen werden, dabei sollten sicherheitskritische Ereignisse, wie zum Beispiel
administrative Ttigkeiten berwacht, protokolliert und ausgewertet werden.
Fr die Entwicklung und Integration von Lotus Notes/Domino-Anwendungen mssen
klare Richtlinien definiert werden, da unzureichend gesicherte Tools, Anwendungen oder
Entwicklerrechte in der Produktionsumgebungen erfolgreiche Angriffe gegen die gesamte
Plattform ermglichen.
Um die Sicherheitsmechanismen der Notes-Plattform effektiv nutzen zu knnen, mssen
Administratoren und Benutzer im Umgang mit diesen geschult werden.
In Abhngigkeit von den Geschftsprozessen muss ein ausreichend detailliertes Notfallvorsorgeund Backup-Konzept fr Lotus Notes/Domino erstellt werden.

Die Sicherheitsempfehlungen zum Thema Lotus Notes/Domino mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Sicherheit fr Lotus Notes/
Domino finden sich im Baustein B 5.5 Lotus Notes/Domino und in den weiteren Bereichen der ITGrundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.6

GR 5.6

Faxserver

Ein Faxserver besteht aus einem IT-System, dem darauf installierten Betriebssystem, der FaxserverApplikation sowie Faxclients auf Benutzer-Seite. ber die Faxserver-Applikation werden in einem Netz
fr andere IT-Systeme die Dienste Faxversand und/oder Faxempfang zur Verfgung gestellt. Faxserver
sind typischerweise ber die TK-Anlage ans Telefonnetz angeschlossen und hufig in E-Mail-Systeme
integriert, so dass eingehende Fax-Dokumente per E-Mail an den Benutzer zugestellt werden knnen.
Fr den sicheren Einsatz von Faxservern sind klare Regelungen erforderlich.
-

Zum Einsatz eines Faxservers sind ein Einsatzkonzept und eine Sicherheitsleitlinie fr die
Faxnutzung zu erstellen. Hierin ist unter anderem festzulegen, in welcher Einsatzart das System
betrieben werden soll, welche Kommunikationspartner welche Informationen erhalten drfen und
wie Faxversand und -empfang in den Geschftsablauf integriert wird.
Der Faxserver ist auf Basis der Sicherheitsleitlinie sicher zu installieren und zu konfigurieren.
Es ist eine Fax-Poststelle einzurichten und damit ein Fax-Verantwortlicher zu benennen. Weiterhin
muss die Administration der verschiedenen Faxserver-Komponenten klar geregelt sein. Es
mssen mindestens ein technischer Administrator und ein Vertreter benannt werden.
Um einen reibungslosen Betrieb des Faxservers zu gewhrleisten, sind Regelungen fr den
Faxserver-Einsatz zu definieren und an die Benutzer zu kommunizieren.
Protokolle von bertragungsvorgngen (Kommunikationsjournal), sind regelmig zu sichten, um
Fehlfunktionen und Missbrauch erkennen zu knnen.
Die Korrektheit von zentral genutzten Faxserver-Adresslisten und Verteillisten muss regelmig
berprft werden.
Die Mitarbeiter sind auf die Besonderheiten der Informationsbermittlung per Faxserver und die
Sicherheitsvorgaben hinzuweisen sowie darber zu informieren, dass die Rechtsverbindlichkeit
einer Faxsendung stark eingeschrnkt ist.
Das Versenden von vertraulichen Informationen per Fax sollte vermieden werden. Besonders
wichtige Faxsendungen sollten vorher angekndigt werden, damit sie rechtzeitig den richtigen
Empfnger erreichen. Eine telefonische Rckversicherung klrt den korrekten Empfang der
Sendung.
Die Kommunikation ist sowohl gegenber dem lokalen Netz als auch gegenber ffentlichen
Netzen abzusichern. Insbesondere sollte der Faxserver keinen weiteren Dienst als den Fax-Dienst
anbieten. Nicht bentigte Leistungsmerkmale sind zu deaktivieren.
Faxserver speichern alle eingehenden und ausgehenden Faxsendungen. Faxdaten sollten nicht
lnger als unbedingt ntig auf dem Faxserver verbleiben. Auerdem muss der Faxserver gegen
unbefugten Zugriff gesichert werden. Die Aufstellung hat daher in einem Serverraum oder einem
Serverschrank zu erfolgen.

Die Sicherheitsempfehlungen zum Thema Faxserver mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Faxserver finden sich im
Baustein B 5.6 Faxserver und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.7

GR 5.7

Datenbanken

Datenbanksysteme sind Hilfsmittel zur rechnergesttzten Organisation, Erzeugung, Vernderung und


Verwaltung groer Datensammlungen. Eine Datenbank ist eine Zusammenstellung von Daten samt ihrer
Beschreibung (Metadaten), die dauerhaft im Datenbanksystem abgelegt werden. Ein Datenbanksystem
besteht aus dem so genannten Datenbankmanagement-System und einer oder mehrerer Datenbanken.
-

Es ist ein Datenbanksicherheitskonzept zu erstellen, in dem Sicherheitsaspekte bei der Planung,


Installation, Konfiguration, Betrieb, Migration und Deinstallation der Datenbank beschrieben sind.
Die zustndigen Administratoren mssen fr den sicheren Betrieb des Datenbanksystems
geschult werden. Diese Schulungsmanahme sollte nach Mglichkeit bereits vor der Beschaffung
des Datenbanksystems erfolgen, damit die entsprechenden Administratoren frhzeitig effektiv in
die Konzeption und den Aufbau einbezogen werden knnen.
Es sind geeignete Mechanismen zur Identifikation und Authentisierung der Datenbankbenutzer
einzusetzen, um eine wirkungsvolle Zugangskontrolle zu gewhrleisten. Jedem Benutzer muss
eine eigene Datenbankkennung zugeordnet sein.
Zur konsistenten Datenbankverwaltung mssen Rollen mit entsprechenden Rechten und Pflichten
festgelegt werden. Hierbei ist zu definieren, welche Aufgaben, Zugriffsrechte und Befugnisse, die
zur Durchfhrung bestimmter Funktionen notwendig sind, einer Rolle zugewiesen werden sollen.
Im Anschluss mssen diese dann realen Personen zugeordnet werden. Die Rollen knnen im
Datenbankmanagementsystem durch Benutzergruppen abgebildet werden.
Um Gefhrdungen der Datenbankintegritt und Inkonsistenzen einzelner Datenstze zu
vermeiden, sind alle Datenbankobjekte einer Anwendung unter die Verwaltung einer fr die
spezielle Anwendung eingerichteten Benutzergruppe zu stellen. Dieser Benutzergruppe sind
dann die Benutzer zuzuordnen, die die Zugriffsrechte zu ihrer Aufgabenerfllung bentigen.
Auerdem sollte der fr die jeweilige Anwendung zustndige Datenbankadministrator Mitglied
dieser Benutzergruppe sein.
Wenn in einer Datenbank Informationen mit hohem Schutzbedarf an Vertraulichkeit gespeichert
sind, mssen diese Daten verschlsselt werden.
Fr Problemflle sollte ein Konzept (Wiederherstellungskonzept) erstellt werden, das Prfungen,
Entscheidungen und Aktionen beschreibt, um eine korrupte Datenbank auf schnellem und
sicherem Wege wieder zur Verfgung stellen zu knnen.
Regelmige Datensicherungen sind durchzufhren. Fr die Datensicherung eines
Datenbanksystems muss ein eigenes Datensicherungskonzept erstellt werden.

Die Sicherheitsempfehlungen zum Thema Datenbanken mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Datenbanken finden sich im
Baustein B 5.7 Datenbanken und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.8

GR 5.8

Telearbeit

Mit Telearbeit werden Ttigkeiten bezeichnet, die ausschlielich oder zeitweise auerhalb der Gebude
des Arbeit- bzw. Auftraggebers durchgefhrt werden. Deren Ausbung wird dabei durch eine Anbindung
ber Informations- und Kommunikationstechnik an die Geschftsprozesse der Institution untersttzt.
-

Es muss ein Sicherheitskonzept fr Telearbeit erstellt werden, in dem der Schutzbedarf der bei der
Telearbeit zu bearbeitenden Informationen aufgezeigt sowie alle Sicherheitsanforderungen und manahmen fr Telearbeit ausreichend detailliert beschrieben werden. Die Telearbeiter mssen in
die zur Telearbeit zu beachtenden Sicherheitsmanahmen eingewiesen und auf deren Einhaltung
verpflichtet werden.
Telearbeiter mssen in die innerbetrieblichen Informationsflsse eingebunden werden, so dass
sie auch zeitnah ber nderungen von Sicherheitsmanahmen und andere sicherheitsrelevante
Aspekte informiert werden.
Die Telearbeitsrechner mssen so eingerichtet sein, dass im unsicheren Einsatzumfeld
eine sichere Nutzung mglich ist. Insbesondere drfen nur autorisierte Personen den
Telearbeitsrechner offline und online nutzen knnen.
Telearbeitsrechner sollten nur fr dienstliche Zwecke benutzt werden. Es drfen nur freigegebene
Programme installiert werden.
Auf den Telearbeitsrechnern sollten die Daten nur verschlsselt gespeichert werden.
Alle relevanten Daten, die im Rahmen der Telearbeit erstellt oder verndert wurden, mssen
zeitnah gesichert werden. Hierfr sind Datensicherungen durchzufhren, entweder lokal auf
externen Datentrgern oder zentral ber die Anbindung an das Netz der Institution.
Die Kommunikation zwischen Telearbeitsrechner und Institution muss angemessen abgesichert
werden, also geeignet verschlsselt werden, z. B. ber VPN.
Der unbefugte Zugriff auf Telearbeits-IT muss verhindert werden. Auch dienstliche Unterlagen
mssen am Telearbeitsplatz sicher aufbewahrt werden, also z. B. nach der Bearbeitung in
Schrnke weggeschlossen werden.
Mobile IT-Systeme, Datentrger und Unterlagen sind beim Transport zwischen den verschiedenen
Arbeitspltzen angemessen zu schtzen, vor allem gegen Verlust und Diebstahl. Vertrauliche
Daten auf digitalen Datentrgern sollten nur verschlsselt transportiert werden.
Zentrale IT-Systeme, Netzkoppelelemente und Sicherheitskomponenten, die die Kommunikation
zwischen Telearbeitsrechner und Institution untersttzen, mssen so installiert und konfiguriert
werden, dass nur zugelassene Benutzer auf Informationen und Dienste der Institution zugreifen
knnen.

Die Sicherheitsempfehlungen zum Thema Telearbeit mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Telearbeit finden sich im
Baustein B 5.8 Telearbeit und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.9

GR 5.9

Novell eDirectory

eDirectory ist ein von Novell entwickelter Verzeichnisdienst und ist aus den Novell Directory Services
hervorgegangen. eDirectory lsst sich auf einer Vielzahl von Betriebssystemen installieren und
betreiben. Fr den Betrieb ist eine spezielle Clientsoftware notwendig, die in den Bootvorgang
des jeweiligen Betriebssystems integriert ist und die Authentisierung der Benutzer gegenber dem
Verzeichnisdienst eDirectory bernimmt. Alternativ ist der Zugriff ber die standardisierte LDAPSchnittstelle mglich, was die Nutzung von Novell eDirectory auch fr andere Applikationen und Systeme
ermglicht.
-

Fr den Einsatz von Novell eDirectory muss eine Sicherheitsrichtlinie definiert werden. Darin
wird festgelegt, welcher Sicherheitsbestimmungen in einem eDirectory-System gelten sollen
und wie diese bei der Installation umgesetzt und whrend des Betriebs eingehalten werden
mssen. In der Sicherheitsrichtlinie ist unter anderem zu definieren, wie die eDirectory-Server
physikalisch abgesichert werden, welche eDirectory-Komponenten zum Einsatz kommen sollen,
wie die Rechtevergabe und Administration des eDirectory erfolgen soll, bis hin zur Schulung von
Administratoren und Anwender.
Bevor Novell eDirectory in einer Institution eingesetzt werden kann, ist festzulegen, wie die
eDirectory-Struktur in Bumen (Trees) angeordnet und inwiefern Container- und Leaf-Objekte
verwendet und mit Rechten ausgestattet werden sollen. Im Hinblick auf den Schutzbedarf, der
Verfgbarkeit und zur Verbesserung der Ausfallsicherheit ist darber hinaus eine Partitionierung
und Replikation des eDirectory-Verzeichnisdienstes vorzusehen und eine geeignete Struktur zu
planen.
Die Rechtevergabe erfolgt bei eDirectory ber Access Control Lists (ACLs).
Zugriffsberechtigungen knnen dabei sowohl auf Objekt- als auch auf Attributsebene vergeben
werden. Objekterechte vererben sich automatisch, Attributsrechte nur, wenn dies explizit
konfiguriert wird. Durch so genannter Masken oder Inherited Rights Filter (IRF) ist dies
entsprechend zu konfigurieren, insbesondere das Self-Recht ist restriktiv zu handhaben.
Die Administration des Novell eDirectory ist genau zu planen. Hierzu ist ein Konzept fr die
Mitgliedschaft in den verschiedenen administrativen Gruppen zu erarbeiten. Danach richtet sich,
welche Administratoren welche Bereiche des eDirectory verwalten. Administratoren sollten hierbei
nur die fr ihre Ttigkeit notwendigen Rechte besitzen.
Der Zugriff auf das Novell eDirectory erfolgt im internen Netz durch eine spezielle ClientSoftware. Diese ist nach der Installation sicher zu konfigurieren. Generell sollte der Einsatzzweck
und der Schutzbedarf des eDirectory im Fokus der sicheren Konfiguration stehen. Bei einer
administrativ verwendeten Client-Software muss beispielsweise die Integritt der jeweiligen
Betriebssystemplattform geschtzt werden. Administratoren und Anwender sind im Umgang mit
der Client-Software zu schulen.
Im Betrieb von eDirectory ist darauf zu achten, dass der Master-Server besonders berwacht und
geschtzt wird, da dieser in der Regel den Zertifikatsserver enthlt, der eine wesentliche Rolle
fr die Zugriffskontrollmechanismen des Verzeichnisses enthlt. Zu schtzen sind nicht nur die
sensitiven Daten, die sich auf diesem befinden, sondern vor allem auch dessen Verfgbarkeit.

Die Sicherheitsempfehlungen zum Thema Novell eDirectory mssen zielgruppengerecht aufbereitet und
institutionsweit verffentlicht werden. Weitere Informationen zum Thema Novell eDirectory finden sich
im Baustein B 5.9 Novell eDirectory und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.12

GR 5.12 Exchange 2000 / Outlook 2000

Exchange 2000 Server ist ein Managementsystem fr Nachrichten, das typischerweise in mittleren bis
groen Institutionen eingesetzt werden kann, um E-Mails zu verteilen und zuzustellen. Zustzlich knnen
von Exchange 2000 Server Groupware-Funktionen, wie Kalender und Aufgabenlisten, verwaltet und
Newsgroups den Benutzern zur Verfgung gestellt werden.
Outlook 2000 ist ein E-Mail-Client, der Bestandteil des Office 2000 Paketes von Microsoft ist. Neben
der reinen E-Mail-Nutzung bietet er eine Reihe von Zusatzfunktionen, die den Arbeitsprozess in
Unternehmen und Behrden erleichtern sollen.
-

Fr den Einsatz des Exchange/Outlook-Systems mssen spezifische Sicherheitsvorgaben


erstellt werden, die die vorhandenen Sicherheitsrichtlinien bercksichtigen. Die Benutzer und die
Administratoren mssen die sie betreffenden Vorgaben kennen.
Exchange 2000 Server wird in einer Microsoft Server-Infrastruktur installiert. Bei der Installation
von Exchange 2000 wird eine Schema-Erweiterung des Active Directory durchgefhrt. Damit
beeinflusst eine Exchange-Installation das Active Directory nachhaltig, so dass der SchemaAdministrator des Windows 2000 Systems beteiligt werden muss.
Der Exchange Server darf unter keinen Umstnden auf einem Domnen-Controller installiert
werden, da dies negative Auswirkungen auf die Sicherheit des gesamten Windows-Systems htte.
Es drfen nur die fr den Betrieb von Exchange 2000 unbedingt notwendigen Komponenten
installiert und in Betrieb genommen werden.
Fr das Exchange-System muss ein Backup- und ein Notfallvorsorge-Konzept erstellt werden.
Zumindest der Mailbox Store, der Public Store sowie die Transaction Logs sollten regelmig
gesichert werden. Da Exchange und Outlook das Windows 2000 Active Directory bentigen, sollte
diese Datenbank ebenso gesichert werden.
Bei der Datensicherung sind auch Outlook-Clients zu bercksichtigen. Besonderes Augenmerk
erfordert das Backup von Daten (z. B. lokal gespeicherte Postfcher), die durch Verschlsselung,
Zugangskennwrter oder andere Mechanismen geschtzt sind.
Der Betrieb eines Exchange-Systems muss protokolliert werden: Zum einen hilft die aktivierte
berwachung, potentielle Schwachstellen mglichst frhzeitig zu erkennen und zu beseitigen.
Zum anderen dient die Protokollierung dazu, Verste gegen die Sicherheitsrichtlinie zu erkennen
oder Nachforschungen ber einen Sicherheitsvorfall anzustellen. Es muss ein Konzept fr
ein Audit und die Protokollierung entworfen werden. Dazu ist festzulegen, wie die Audit- und
Protokollierungsfunktion des Exchange-Systems genutzt werden.
Der teilweise oder komplette Ausfall eines Exchange-Systems hat in vielen Fllen gravierende
Auswirkungen auf die Arbeitsmglichkeiten der E-Mail-Benutzer, da alle Server-basierten Aktionen
nicht mehr ausgefhrt werden knnen. Im Rahmen der Notfallvorsorge ist daher ein Konzept zu
entwerfen, wie die Folgen eines Ausfalls minimiert werden knnen und welche Aktivitten bei
einem Ausfall durchzufhren sind.

Die Sicherheitsempfehlungen zum Thema Exchange 2000 / Outlook 2000 mssen zielgruppengerecht
aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Exchange
2000 / Outlook 2000 finden sich im Baustein B 5.12 Exchange 2000 / Outlook 2000 und in weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.13

GR 5.13 SAP System

SAP Systeme werden eingesetzt, um interne und externe Geschftsablufe zu automatisieren und
technisch zu untersttzen (Enterprise Resource Planning, ERP). Ein SAP System verarbeitet daher
typischerweise schutzbedrftige Informationen. Die Darstellung hier beschrnkt sich auf eine typische
und in der Praxis hufig anzutreffende Kerninstallation.
-

Vor der Installation und Inbetriebnahme eines SAP Systems mssen umfangreiche Planungen
fr dessen spteren sicheren Betrieb erfolgen. In jedem Fall ist die technische Konfiguration
zu planen, ein Administrations-, Benutzer- und Rechtekonzept zu erarbeiten, sowie Planungen
hinsichtlich des nderungsmanagements und im Rahmen der Notfallvorsorge durchzufhren.
Die Administratoren sollten die SAP-Dokumentation ber Installation, Konfiguration und Betrieb
von SAP Systemen kennen und regelmig auf Aktualisierungen prfen. Teil der Dokumentation
sind auch Sicherheitsleitfden, die zu bercksichtigen sind.
Die von einem SAP System zur Speicherung genutzte Datenbank enthlt alle Informationen
eines SAP Systems. Es ist sicherzustellen, dass nur das SAP System selbst auf die Tabellen
dieser Datenbank zugreifen kann. Darber hinaus drfen im SAP System nur die tatschlich
notwendigen Zugriffsrechte auf die Tabellen erteilt werden.
Bei der Konfiguration des ABAP-Stacks mssen zunchst die Aktivitten des SAP Implementation
Guides (IMG) durchgefhrt werden. Es ist sicherzustellen, dass Produktivmandanten nie
zusammen mit Entwicklungsmandanten betrieben werden. Berechtigungen zur Ausfhrung oder
Pflege von Betriebssystemkommandos sind mglichst restriktiv zu vergeben. Das Single Sign-On
ist sicher zu konfigurieren. Mehrfachanmeldungen mssen verhindert werden.
In der Benutzerverwaltung des ABAP-Stacks mssen alle nicht verwendeten Benutzerkennungen
deaktiviert werden. Darber hinaus sind alle Standardpasswrter zu ndern und die StandardBenutzerkennungen abzusichern. Benutzernamen mssen eindeutig sein, dafr ist eine
Namenskonvention festzulegen.
Alle Administratoren, die fr die Benutzerkennungen, Rollen, Profile und Berechtigungen
verantwortlich sind, mssen zum SAP Berechtigungskonzept geschult werden. Darber hinaus
sind die administrativen Ttigkeiten klar zu trennen.
Der Java-Stack darf nur dann installiert werden, wenn auch tatschlich Java-basierte
Produkte oder Applikationen zum Einsatz kommen sollen. Ist dies der Fall, so sind alle nicht
bentigten Dienste des Java-Stacks abzuschalten, die Standardinhalte zu entfernen, der
HTTP-Dienst abzusichern, die kryptographische Funktionsbibliothek zu installieren und die
Authentisierungsmodule zu konfigurieren. In jedem Fall sind die Zugriffe auf die Systemressourcen
und auf die Administrationsschnittstelle einzuschrnken.
Die Berechtigungen fr Remote Function Calls (RFC) sind mglichst restriktiv zu vergeben.
Wird entschieden, dass ein SAP System nicht weiter betrieben werden soll, sind insbesondere die
gespeicherten Daten und Rechtevergaben sicher zu lschen. Auch alle Referenzen von anderen
Systemen auf das auszusondernde System sind zu lschen.
Es muss eine regelmige Datensicherung des kompletten SAP Systems durchgefhrt werden.
Auerdem wird ein Notfall-Administratorkonto bentigt. Falls der Java-Stack zum Einsatz kommt,
muss auch hierfr ein Notfall-Administratorkonto angelegt werden. Die Nutzung des NotfallAdministratorkontos ist genau zu dokumentieren.

Die Sicherheitsempfehlungen zum Thema SAP System mssen zielgruppengerecht aufbereitet und
institutionsweit verffentlicht werden. Weitere Informationen zum Thema SAP System finden sich im
Baustein B 5.13 SAP System und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.14

GR 5.14 Mobile Datentrger

Mobile Datentrger werden fr eine Vielzahl von Zwecken eingesetzt, beispielsweise fr den
Datentransport, die Speicherung von Daten oder die Datennutzung unterwegs. Es gibt eine Vielzahl
verschiedener Varianten von mobilen Datentrgern, hierzu gehren unter anderem Disketten, externe
Festplatten, CD-ROMs, DVDs, Magnetbnder und USB-Sticks. Bei allen mobilen Datentrgern mssen
sowohl die gespeicherten Informationen sicher genutzt, als auch gegen eine unbefugte Weitergabe von
Informationen ber mobile Datentrger vorgebeugt werden.
-

Es sollte klare, schriftliche Regeln fr den sicheren Umgang mit mobilen Datentrgern geben. Es
sollte insbesondere geregelt sein, an wen ber mobile Datentrger welche Daten weitergegeben
werden drfen und dass Datentrger von Externen mit Vorsicht behandelt werden mssen, da sie
Schadsoftware enthalten knnten.
Die Mitarbeiter sollten ber die Risiken von mobilen Datentrgern und ber die daher
erforderlichen Sicherheitsmanahmen informiert sein. Im Umgang mit externen Speichermedien
wie USB-Sticks sollten die Benutzer Vorsicht walten lassen, durch unbedachte Weitergabe knnen
vertrauliche Daten offen gelegt oder Schadprogramme aufgelesen werden.
Die Nutzung nicht zugelassener mobiler Datentrger sollte mglichst technisch unterbunden
werden, z. B. indem auf USB-Schnittstellen nur die intern freigegebenen USB-Datentrger
zugreifen knnen.
Die Laufwerke und die Schnittstellen der IT-Systeme zur Nutzung von mobilen Datentrgern
sollten gem den Sicherheitsvorgaben abgesichert werden. Von mobilen Datentrgern sollte
nicht gebootet werden knnen.
Bei mobilen Datentrgern besteht ein relativ hohes Verlust- und Diebstahlsrisiko. Damit die Daten
nicht in falsche Hnde fallen, sollten die Dateien oder besser die gesamten mobilen Datentrger
verschlsselt sein.
Bevor wiederbeschreibbare Datentrger weitergegeben werden, sollten sie vor ihrer erneuten
Verwendung oder Aussonderung physikalisch gelscht werden.
Jeder Verlust oder Diebstahl eines mobilen Datentrgers sollte umgehend gemeldet werden.
Dafr sollte es in jeder Institution klare Meldewege und Ansprechpartner geben.
Die Vielzahl und Varianten von Datentrgern werden weiter zunehmen. Datentrger werden
zunehmend "unsichtbar", da sie in anderen Gerten integriert werden. Daher muss regelmig
untersucht werden, ob die Sicherheitsvorgaben fr den Umgang mit mobilen Datentrgern und
Gerten noch aktuell sind.

Die Sicherheitsempfehlungen zum Thema Mobile Datentrger mssen zielgruppengerecht aufbereitet


und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Mobile Datentrger finden
sich im Baustein B 5.14 Mobile Datentrger und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.15

GR 5.15 Allgemeiner Verzeichnisdienst

Ein Verzeichnisdienst stellt in einem Computernetz Informationen ber beliebige Objekte in einer
definierten Art zur Verfgung. Diese Daten knnen gleichermaen von verschiedenen Applikationen
verwendet werden. Der Verzeichnisdienst und seine Daten brauchen aber nur einmal zentral verwaltet
werden. Software fr Verzeichnisdienste wird von vielen Herstellen angeboten. Beispiele hierfr sind
Active Directory von Microsoft, Novell eDirectory und OpenLDAP.
-

Bevor ein Verzeichnisdienst in einer Institution eingesetzt werden kann, muss der Einsatz des
Verzeichnisdienstes geplant werden, vor allem die Struktur des Verzeichnisdienstes und die
Verteilung der administrativen Aufgaben.
Es ist festzulegen, welche Verzeichnisdienstmodule, wie beispielsweise das LDAP-Servermodul
oder Zertifikatsserver, fr das jeweilige Einsatzszenario des Verzeichnisdienstes verwendet
werden sollen. Nicht genutzte Module sollten nicht installiert werden.
Als Grundlage fr einen sicheren Betrieb eines Verzeichnisdienstes muss ein Sicherheitskonzept
und eine Sicherheitsrichtlinie fr den Einsatz des Verzeichnisdienstes erstellt werden. Darin muss
geregelt werden, wie der Verzeichnisdienst-Server physikalisch abgesichert, welche Komponenten
verwendet und welche Benutzer mit welchen Rechten auf den Verzeichnisdienst zugreifen drfen.
Beim erstmaligen Aufbau eines Verzeichnisdienstes ist dieser sicher zu installieren. Hierbei ist
darauf zu achten, dass restriktive Verzeichnisdienst-Zugriffsberechtigungen und ein mit SSL
verschlsselter LDAP-Zugriff eingerichtet werden. Werden bei der Installation Einstellungen
aus anderen Verzeichnisdiensten oder Vorgngerversionen bernommen, so mssen diese
aktualisiert und deren Wirksamkeit und Gltigkeit berprft werden.
Ein Verzeichnisdienst darf nur durch berechtigte Administratoren konfiguriert werden.
Benutzer und Administratoren sind hinsichtlich der Verwendung und Administration des
Verzeichnisdienstes ausreichend zu schulen.
Verzeichnisdienste sind naturgem kontinuierlichen Vernderungen unterworfen. Entsprechend
mssen die sicherheitsrelevanten Konfigurationsparameter stndig angepasst werden.
nderungen an Konfigurationseinstellungen mssen bei einem Verzeichnisdienst mit uerster
Vorsicht durchgefhrt werden und die Auswirkung jeder Einstellung sind ausgiebig zu testen.
Der Sicherheitszustand eines Verzeichnisdienstes muss kontinuierlich berwacht werden. Dafr
sollten unter anderem die Sicherheitseinstellungen und die Protokolldateien regelmig berprft
werden. Es empfiehlt sich, eine automatisierte berwachung einzusetzen.
Fr einen Verzeichnisdienst sind verschiedene prventive Manahmen zu treffen, um diesen bei
Ausfall schnell wieder betriebsbereit machen zu knnen. Hierzu gehrt neben einem Notfallplan
fr den Ausfall eines Verzeichnisdienstes in jedem Fall eine regelmige Datensicherung des
kompletten Verzeichnisdienstes, aber auch der Partitionen bei einem verteilten Verzeichnisdienst.
Wird entschieden, einen Verzeichnisdienst nicht weiter zu betreiben, sind insbesondere
die gespeicherten Daten und Rechte sicher zu lschen. Soll bei einem verteilt aufgebauten
Verzeichnisdienst eine Partition ausgesondert werden, muss diese Partition gesichert
werden, damit bei auftretenden Problemen diese Partition wieder hergestellt werden kann.
Ebenso ist sicherzustellen, dass durch die Aussonderung dieser Partition andere Teile des
Verzeichnisdienstes nicht beeintrchtigt werden.

Die Sicherheitsempfehlungen zum Thema Allgemeiner Verzeichnisdienst mssen zielgruppengerecht


aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Allgemeiner
Verzeichnisdienst finden sich im Baustein B 5.15 Allgemeiner Verzeichnisdienst und in weiteren
Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.16

GR 5.16 Active Directory

Active Directory ist ein von Microsoft entwickelter Verzeichnisdienst, der mit dem Betriebssystem
Windows 2000 Server erstmalig eingefhrt wurde. Als ein objektbasierter Verzeichnisdienst ermglicht
Active Directory die Verwaltung von Objekten und deren Beziehungen untereinander, die die
eigentliche Netzumgebung ausmachen. Active Directory stellt hierzu zentrale Steuerungs- und
Kontrollmglichkeiten des jeweiligen Netzes bereit.
-

Bevor ein Active Directory in einer Institution eingesetzt werden kann, ist festzulegen, wie die
Active Directory-Struktur in Domnen aufgeteilt wird und wie die Domnen in Bume (Trees) und
Wlder (Forests) angeordnet werden sollen. Auerdem muss die Struktur der Organisational
Units (OU) Objekte geplant werden, da hierdurch definiert wird, ob diese Benutzer- und RechnerObjekte enthalten knnen, aus denen sich dann Zugriffsrechte ableiten.
Die Administration des Active Directory ist genau zu planen. Hierzu ist ein Konzept fr die
Mitgliedschaft in den verschiedenen administrativen Gruppen zu erarbeiten. Danach richtet sich,
welche Administratoren welche Bereiche des Active Directory verwalten. Administratoren sollten
hierbei nur die fr ihre Ttigkeit notwendigen Recht besitzen.
Gruppenrichtlinien dienen im Active Directory dazu, einen Satz von Konfigurationseinstellungen,
zu denen insbesondere auch Sicherheitseinstellungen gehren, auf eine Gruppe von Objekten
anzuwenden. Da ber Gruppenrichtlinien weitreichende Einstellungen vorgenommen
werden knnen, ist deren Einsatz genau zu planen. Hierbei beeinflussen sich das
Gruppenrichtlinienkonzept und die Struktur des Active Directory wesentlich, da Gruppenrichtlinien
nur auf OU-Objekte, nicht auf Benutzer- und Rechner-Objekte angewandt werden knnen.
Gruppenrichtlinien mssen vor unberechtigter Vernderung geschtzt werden.
In einem Active Directory ist die Verwaltung der Dienste und Daten strikt zu trennen. Hierdurch
kann die Verwaltung des Active Directory besser dezentralisiert werden. Whrend ein DiensteAdministrator, sowohl den Active Directory-Dienst, als auch dessen Daten verwalten kann, kann
ein Daten-Administrator nur die Daten verwalten, fr die er beispielsweise an seinem Standardort
zustndig ist. Ein Daten-Administrator sollte nicht in der Lage sein, die Konfiguration des Active
Directory zu ndern.
Da auf Domnen-Controllern die Active-Directory-Infrastruktur gespeichert ist, mssen diese
entsprechend sicher konfiguriert werden. Hierzu sind die Domnen-Controller prinzipiell in einer
sicheren Umgebung aufzustellen. Es sollte eine Referenzinstallation existieren, von der aus eine
abbildbasierte Einrichtung der Domnen-Controller erfolgen kann. Diese Referenzinstallation ist
stets mit aktuellen Sicherheitspatches zu versehen und die Pr-Windows-2000-Kompatibilitt,
sowie die Generierung von 8.3-Dateinamen in NTFS sollte deaktiviert sein. Ebenso sollten die
auf Domnen-Controllern zur Verfgung gestellten Dienste auf das betrieblich notwendige Ma
begrenzt werden.
Ein Windows Server mit Active Directory enthlt Standard-Sicherheitseinstellungen fr die
Domne und fr die Domnen-Controller. Diese sind so einzustellen, dass der Zugriff auf
Domnen-Controller ber einen besonders starken Mechanismus abgesichert wird. Hierzu
eignen sich die Konto-Sperrungsrichtlinien oder die Kerberos-Richtlinien-Einstellungen. Ist
darber hinaus die Zusammenarbeit zwischen Domnen in verschiedenen Gesamtstrukturen zu
untersttzen, so sind externe Vertrauensstellungen einzurichten. Die Richtlinieneinstellungen fr
Domnen-Controller beeinflussen die sicherheitsrelevanten Einstellungen der Windows Server
Betriebssysteme und sollten daher gewissenhaft vorgenommen werden.

Die Sicherheitsempfehlungen zum Thema Active Directory mssen zielgruppengerecht aufbereitet und
institutionsweit verffentlicht werden. Weitere Informationen zum Thema Active Directory finden sich im
Baustein B 5.16 Active Directory und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.17

GR 5.17 Samba

Samba ist ein frei verfgbarer Authentisierungs-, Datei- und Druckdienst und ermglicht Interoperabilitt
zwischen Microsoft Windows und der Unix-Welt. Als Samba-Server werden Server bezeichnet, auf
denen Samba als Authentisierungs-, Datei- und Druckdienst betrieben wird. Dies sind in der Regel UnixServer.
-

Die vielfltigen Einsatzmglichkeiten von Samba machen umfangreiche Planungen im


Vorfeld notwendig, damit eine geregelte und sichere Einfhrung sowie in Folge ein sicherer
Betrieb ermglicht wird. Dabei ist zu gewhrleisten, dass die fr IT-Systeme festgelegten
Sicherheitsrichtlinien eingehalten werden und so eine richtlinienkonforme Umsetzung erfolgt.
Es ist zu entscheiden, ob der Samba-Server generell als Mitglied einer Windows-Domne oder ob
er als Domnencontroller eingesetzt werden soll.
Die Administratoren mssen fr die sichere Installation und den sicheren Betrieb eines SambaServers geschult werden.
Das Betriebssystem, auf dem der Samba-Dienst betrieben wird, muss sicher installiert und
konfiguriert werden.
Nachdem der Samba-Server installiert wurde, muss eine sichere Grundkonfiguration des Dienstes
hergestellt werden. Dies betrifft unter anderem die Einstellungen fr die Zugriffskontrollen, aber
auch Einstellungen, die auf die Performance des Servers Einfluss haben.
Samba legt in mehreren Verzeichnissen Datenbanken im Trivial Database (TDB)-Format ab.
Die Inhalte der Datenbanken werden aber oft fr lngere Zeit zwischengespeichert, so dass die
entsprechenden Inhalte auf der Festplatte nicht immer aktuell sein mssen. Daher ist es nicht
ausreichend, diese Datenbanken nur auf ein Sicherungsmedium zu kopieren, sondern sie sollten
regelmig mit entsprechenden Mechanismen gesichert werden.
Die Zugriffsberechtigungen der Samba Freigaben sind restriktiv zu vergeben und regelmig zu
berprfen.
Die Administratoren mssen sich ber aktuelle Sicherheitslcken in der eingesetzten Software
frhzeitig informieren und diese durch Patches oder andere Manahmen beseitigen.
Damit die Benutzer Samba-Freigaben nutzen knnen, mssen sie sich gegenber dem Server
authentisieren. Es ist eine geeignete Authentisierungsmethode auszuwhlen, wie z. B. winbind.

Die Sicherheitsempfehlungen zum Thema Samba mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Samba finden sich im Baustein
B 5.7 Samba und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.18

GR 5.18 DNS-Server

Domain Name System (DNS) ist ein Netzdienst, um Hostnamen von IT-Systemen in IP-Adressen
umzuwandeln, und umgekehrt. Die Informationen darber, welche Namen zu welchen IP-Adressen
gehren, werden im Domain-Namensraum verwaltet und von DNS-Servern zur Verfgung gestellt. DNSServer verwalten den Domain-Namensraum im Internet, werden aber auch hufig im internen Netz
eingesetzt. Betrachtet werden Sicherheitsaspekte des Domain Name Systems (DNS) und der hierfr
bentigten Server innerhalb einer Institution.
-

Es sollte geplant werden, wie die DNS-Server in die Netzstrukturen des Informationsverbunds
einer Institution integriert werden.
Der Namensraum eines Informationsverbundes sollte in einen ffentlichen und einen internen
Bereich aufgeteilt werden. Im ffentlichen Teil sollten nur solche Domain-Informationen enthalten
sein, die von Diensten bentigt werden, die von extern erreichbar sein sollen.
Die erlaubten Verbindungsanfragen zu den DNS-Servern mssen eingeschrnkt werden. Nur der
ffentliche Teil des Namensraums darf von extern sichtbar sein.
Es muss entschieden werden, wie hoch die Leistungskapazitt eines DNS-Servers sein muss.
Dies betrifft einerseits das IT-System selbst, vor allem den Hauptspeicher, und andererseits die
Bandbreite der Netzanbindung.
Ein DNS-Server-Prozess sollte nur mit den minimal notwendigen Rechten ausgestattet werden,
um die potenziellen Auswirkungen im Fall eines erfolgreichen Angriffs auf den Prozess gering zu
halten.
Zonentransfers sollten nur zwischen dem Primary DNS-Server und den Secondary DNS-Servern
einer Domain mglich sein.
Um dynamische Updates sicher nutzen zu knnen, sollten nur legitimierte IT-Systeme
automatische nderungen an Domain-Informationen vornehmen knnen.
Um einen reibungslosen Betrieb zu gewhrleisten und eventuelle Strungen oder Anomalien
festzustellen, sollte ein DNS-Server laufend berwacht werden.
DNS stellt eine grundlegende Funktionalitt fr die Kommunikation ber Netze zur Verfgung.
Abhngig von den Verfgbarkeitsanforderungen sollten daher Redundanzmanahmen fr die
DNS-Server ergriffen werden.

Die Sicherheitsempfehlungen zum Thema DNS-Server mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema DNS-Server finden sich im
Baustein B 5.18 DNS-Server und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz

Goldene Regeln

GR 5.19

GR 5.19 Internet-Nutzung

Da das Internet heutzutage zu den wichtigsten Informations- und Kommunikationsmedien gehrt, ist es
aus dem Arbeitsalltag nicht mehr wegzudenken. In den meisten Institutionen ist die Nutzung von E-Mail,
Informationsangeboten, Internet-Dienstleistungen, Online-Banking, E-Commerce- und E-GovernmentAnwendungen selbstverstndlich. Gleichzeitig muss verhindert werden, dass durch die Anbindung an
das Internet fr die Institution und deren interne IT-Netze unakzeptable Risiken entstehen.
-

Es muss ein Konzept festgelegt werden, in dem grundstzliche Fragen der Internet-Nutzung
geklrt sind, beispielsweise welche Internet-Dienste in der Institution genutzt werden sollen,
welche Internet-Dienste im internen Netz genutzt werden drfen, welche Regeln dabei zu
beachten sind und wie die internen IT-Systeme, die das Internet nutzen drfen, zu schtzen sind.
Fr die sichere Internet-Nutzung mssen verbindliche Richtlinien festgelegt werden. Dies umfasst
beispielsweise, wer welche Internet-Dienste wann und wofr nutzen darf.
Alle Mitarbeiter sollten ber das Potential, aber auch die Risiken der Internet-Nutzung informiert
sein. Sie mssen wissen, welche Rahmenbedingungen sie bei der Nutzung von Internet-Diensten
beachten mssen. Dazu gehrt insbesondere, dass sie die Regeln kennen, um Dienste sicher
zu nutzen und sich korrekt im Internet zu verhalten, beispielsweise in Blogs oder Sozialen
Netzwerken.
Alle internen Anwendungen, IT-Systeme und Netzkomponenten sind so zu installieren und
konfigurieren, dass Risiken der Internet-Nutzung, insbesondere durch Schadprogramme, minimiert
werden.
Bei allen Internet-Clients sollten die Sicherheitseinstellungen an die Erfordernisse der Institution
angepasst werden. Dies gilt vor allem fr die Browser. Die Benutzer sollten die von den
Administratoren eingestellten Sicherheitsvorgaben nicht ndern knnen.
Um ein internes Netz vor Missbrauch durch aktive Inhalte aus dem Internet zu schtzen, sollte
soweit wie mglich auf deren Ausfhrung verzichtet werden.
Alle Kommunikationsverbindungen mssen angemessen abgesichert werden. Vertrauliche Daten
drfen nur verschlsselt bertragen werden. Bei der Nutzung von Internet-Diensten sollte daher
zumindest TLS/SSL eingesetzt werden.
Bei vielen Internet-Diensten mssen sich die Benutzer mittels Benutzername und Passwort
authentisieren. Dabei mssen die allgemeinen Regeln zur sicheren Verwendung von Passwrtern
beachtet werden. Wichtig ist insbesondere, dass die Passwrter nicht leicht zu erraten sind. Es
sollten fr verschiedene Internet-Dienste verschiedene Passwrter verwendet werden. Vor allem
sollten extern keine Passwrter genutzt werden, die fr IT-Systeme oder IT-Dienste innerhalb der
Institution verwendet werden.
Sicherheitsrelevante Patches und Updates fr alle Komponenten und die genutzte Software
mssen systematisch und zeitnah eingespielt werden.
Da in vielen Geschftsprozessen eine Internet-Anbindung als selbstverstndlich angesehen wird,
mssen je nach den Verfgbarkeitsanforderungen geeignete Ausweichverfahren fr den Fall von
Strungen bei Internet-Anwendungen oder Netzanbindungen festgelegt werden.

Die Sicherheitsempfehlungen zum Thema Internet-Nutzung mssen zielgruppengerecht aufbereitet und


institutionsweit verffentlicht werden. Weitere Informationen zum Thema Internet-Nutzung finden sich
im Baustein B 5.19 Internet-Nutzung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

www.bsi.bund.de/grundschutz